[求助]hook ZwRequestWaitReplyPort后如何判断是创建服务-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼让qihoocom来回答你~ 2009-11-25 17:40 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼 UP你.... 2009-11-25 17:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼白汁意面不错很好吃 2009-11-25 17:59 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 5 楼 ls 别只顾着吃啊 ~ 给支支招儿啊说说有哪些资料可以查哈？ 2009-11-26 09:28 0
startion 雪币： 659 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	startion 6 楼 NtReplyWaitReceivePort( HANDLE PortHandle, PDWORD PortId, PLPCMESSAGE LpcReply, PLPCMESSAGE LpcMessage); typedef struct LpcMessage { /* LPC Message Header / WORD ActualMessageLength; WORD TotalMessageLength; DWORD MessageType; DWORD ClientProcessId; DWORD ClientThreadId; DWORD MessageId; DWORD SharedSectionSize; BYTE MessageData[MAX_MESSAGE_DATA]; } LPCMESSAGE, PLPCMESSAGE; 1. MessageType 就可以知道收到是什么报文了 2. 进程判断是ClientId 2009-11-26 09:53 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 7 楼首先感谢startion兄的帮助其次偶对兄台提到的 “1. MessageType 就可以知道收到是什么报文了” 中的 “报文” 不是太理解这个报文是不是也和tcp 或 udp里面的那个报文是一回事儿呢？之前看到MessageType的命名和DWORD类型值就猜想是要和一些宏的值作比较或是switch 然后得出操作行为的类型(不知对否？) 如果是这样的话这些宏要到哪里去找呢？（现在就卡在这里了~~）打算补一补这块的知识要看哪些书或是文章资料呢~ 再次感谢 2009-11-26 11:45 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 8 楼还有就是在网上看到一篇文章说通过 Request 中的MessageId可以判断操作行为，这个MessageId有这样的功能吗？还是说仅仅就是个ID值 2009-11-26 11:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼楼主完全没上道~跟MessageId屁关系没有 2009-11-26 13:39 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 10 楼这种说法是在网上搜到的十分不解所以才来问问既然 ls上道了就给点资料啊 2009-11-26 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼让qihoocom来回答你~ 2009-11-25 17:40 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼 UP你.... 2009-11-25 17:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼白汁意面不错很好吃 2009-11-25 17:59 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 5 楼 ls 别只顾着吃啊 ~ 给支支招儿啊说说有哪些资料可以查哈？ 2009-11-26 09:28 0
startion 雪币： 659 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	startion 6 楼 NtReplyWaitReceivePort( HANDLE PortHandle, PDWORD PortId, PLPCMESSAGE LpcReply, PLPCMESSAGE LpcMessage); typedef struct LpcMessage { /* LPC Message Header / WORD ActualMessageLength; WORD TotalMessageLength; DWORD MessageType; DWORD ClientProcessId; DWORD ClientThreadId; DWORD MessageId; DWORD SharedSectionSize; BYTE MessageData[MAX_MESSAGE_DATA]; } LPCMESSAGE, PLPCMESSAGE; 1. MessageType 就可以知道收到是什么报文了 2. 进程判断是ClientId 2009-11-26 09:53 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 7 楼首先感谢startion兄的帮助其次偶对兄台提到的 “1. MessageType 就可以知道收到是什么报文了” 中的 “报文” 不是太理解这个报文是不是也和tcp 或 udp里面的那个报文是一回事儿呢？之前看到MessageType的命名和DWORD类型值就猜想是要和一些宏的值作比较或是switch 然后得出操作行为的类型(不知对否？) 如果是这样的话这些宏要到哪里去找呢？（现在就卡在这里了~~）打算补一补这块的知识要看哪些书或是文章资料呢~ 再次感谢 2009-11-26 11:45 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 8 楼还有就是在网上看到一篇文章说通过 Request 中的MessageId可以判断操作行为，这个MessageId有这样的功能吗？还是说仅仅就是个ID值 2009-11-26 11:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼楼主完全没上道~跟MessageId屁关系没有 2009-11-26 13:39 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 10 楼这种说法是在网上搜到的十分不解所以才来问问既然 ls上道了就给点资料啊 2009-11-26 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]hook ZwRequestWaitReplyPort后 如何判断是创建服务

[求助]hook ZwRequestWaitReplyPort后如何判断是创建服务