Ta的论坛

{{ user_info.username }}

{{ user_info.brief }}

拉黑已拉黑关注已关注私信

头图
皮肤套装

使用

使用

主题(5) | 回帖(46) | 精华(0)

loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-22 09:56 0 [求助]求个ring0 直接恢复ssdt的代码你棵把ring 3获取函数地址直接在ring 0里写
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-21 15:55 0 [求助]_KPROCESS lkd> dt _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x018 DirectoryTableBase : [2] Uint4B +0x020 LdtDescriptor : _KGDTENTRY +0x028 Int21Descriptor : _KIDTENTRY +0x030 IopmOffset : Uint2B +0x032 Iopl : UChar +0x033 Unused : UChar +0x034 ActiveProcessors : Uint4B +0x038 KernelTime : Uint4B +0x03c UserTime : Uint4B +0x040 ReadyListHead : _LIST_ENTRY +0x048 SwapListEntry : _SINGLE_LIST_ENTRY +0x04c VdmTrapcHandler : Ptr32 Void +0x050 ThreadListHead : _LIST_ENTRY +0x058 ProcessLock : Uint4B +0x05c Affinity : Uint4B +0x060 StackCount : Uint2B +0x062 BasePriority : Char +0x063 ThreadQuantum : Char +0x064 AutoAlignment : UChar +0x065 State : UChar +0x066 ThreadSeed : UChar +0x067 DisableBoost : UChar +0x068 PowerState : UChar +0x069 DisableQuantum : UChar +0x06a IdealNode : UChar +0x06b Flags : _KEXECUTE_OPTIONS +0x06b ExecuteOptions : UChar 你也可以在DDK中搜索
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-21 11:25 0 [原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行 sysnap为什么不能用Process=PsGetCurrentProcess();代替呢
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-21 11:24 0 [求助]error C2065: 'PsSetCreateProcessNotifyRoutine' : undeclared identifier DS3.2环境我不熟啊
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-21 09:41 0 [原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行突然见发现为什么ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,&Process,NULL); 不能用Process=PsGetCurrentProcess();代替呢
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-15 23:25 0 [求助]局域网速度很卡，怎么分析原因？？有可能有人用BT下黄片啦
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-15 23:25 0 [原创]对抗瑞星文件监控恢复fsd 留个标记
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-10 15:02 0 [原创]Delphi研究之驱动开发篇（六）--利用Section与用户模式程序通讯这都能让你写出来，学习
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-10 15:00 0 [求助]求一个简单的与驱动通信的C代码。仔细看看专题里有
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-10 14:22 0 [求助]求一个简单的与驱动通信的C代码。
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-4 09:42 0 [求助]关于inline hook未导出函数PspTerminateProcess 汗，回家弄明白了
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-3 13:42 0 [求助]关于inline hook未导出函数PspTerminateProcess 别呀帮我弄清楚啊，不然以后就、、、、
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-3 12:22 0 [原创]inline hook未导出函数PspTerminateProcess Sysnap你好又来麻烦你了你的文章非常好,跟那你学的文章已经基本学明白了。在这篇文章里我有个小问题,想请教下在Unload中 _asm { CLI MOV eax, CR0 AND eax, NOT 10000H MOV CR0, eax pushad mov edi, PspTerminateProcess mov eax, dword ptr Code[0] mov [edi], eax mov al, byte ptr Code[4] mov [edi+4], al popad MOV eax, CR0 OR eax, 10000H MOV CR0, eax STI } 你是怎么把数组Code[1],Code[2],Code[3]送给PspTerminateProcess的，我就看懂了你把code[0],code[4]送给了eax和edi+4呀。虽然可以用RtlCopyMemory (PspTerminateProcess,Code,5);代替由于我的汇编上不了桌，只好来请教. 另附，程序测试成功，我在用冰刃Advanced scan是扫描出来，但不一会就蓝屏了.
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-2 09:26 0 [原创]导出表钩子------EAT HOOK 哦，好的明白
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-2 09:01 0 [原创]导出表钩子------EAT HOOK 帮我回答下19楼的问题呀
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-2 08:13 0 [求助]关于inlinehook问题--为什么会蓝呵呵，其实我也是刚刚开始研究内核 inlinehook刚懂一些，有一些还没接触。想多看一些代码
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-2 08:10 0 [原创]导出表钩子------EAT HOOK 另外你有没有出现过这样的问题 g_OriginalPsGetCurrentProcessId=0了
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-2 08:07 0 [原创]导出表钩子------EAT HOOK Sysnap正如你所说的 BaseAddress= GetModlueBaseAdress("ntoskrnl.exe");确实可以得到基址，另外还有几个小问题： ULONG g_OriginalPsGetCurrentProcessId;是保存原函数的的地址 MOV CR0, EAX } DbgPrint("PsGetCurrentProcessId is:%x\n",(PUCHAR)hMod + pAddressOfFunctions[index]); pAddressOfFunctions[index] = ( PCHAR )MyPsGetCurrentProcessId - BaseAddress; DbgPrint("g_OriginalPsGetCurrentProcessId is:%x\n",g_OriginalPsGetCurrentProcessId); g_OriginalPsGetCurrentProcessId= (ULONG)hMod + pAddressOfFunctions[index] ; _asm { MOV EAX, CR0 g_OriginalPsGetCurrentProcessId= (ULONG)hMod + pAddressOfFunctions[index] ;是不是应该放在pAddressOfFunctions[index] = ( PCHAR )MyPsGetCurrentProcessId - BaseAddress;前面啊，不然g_OriginalPsGetCurrentProcessId得到的是( PCHAR )MyPsGetCurrentProcessId - BaseAddress; Byw Sysnap你有没有什么QQ的啊~~给个号呗，研究下问题
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 2008-6-1 13:13 0 [求助]关于inlinehook问题--为什么会蓝 sudami可以给我一份源代码么？绝对不会乱散布 loien@163.com

{{ user_info.digests_3 }}

精华数

{{ user_info.rank }}

RANk

{{ user_info.golds == '' ? 0 : user_info.golds }}

雪币

{{ points }}

活跃值

关注数

粉丝数

{{ experience }}

课程经验

{{ score }}

学习收益

{{study_duration_fmt}}

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值

活跃值：

活跃值

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值