123456-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 SSDT泛滥成河啊，但是以关键字“SSDT”在论坛安全编程版块搜索，发现问问题的还是很多，为什么呢？我觉得主要都是这些资料零散，没有串在一起。比如有的人想恢复有的人想HOOK，但是目前看到得文章，都是偏安一角，要么讲原理，要么贴代码，所以就把之前总结的点东西共享出来，我想之后再学SSDT及SSDT Shadow有这些文章足矣了，应该没什么大的问题了。当然文章肯定存在很多不足地方，欢迎大家指正。广为流传的：李马的《城里城外看SSDT》 zhuwg的shadow ssdt学习笔记(一)(二) sislcb的《Hook Shadow SSDT》 ASMHacker的《重现SSDT-Shadow Hook编译通过的代码,献给所有,有共享精神的人》 2010-1-2 16:03 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼觉得无用的飘过觉得有用的仔细阅读下，肯定豁然开朗 2010-1-2 16:04 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 4 楼顶竹君做这么详细 SSDT 和 SHADOW 你应该是头一个。极大丰富了初学者。 2010-1-2 16:05 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼多谢大家的支持啊 2010-1-2 16:06 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 6 楼论坛上有不少人发的帖子讲的比较隐讳。你这个真是太好了，建议大家向你学习，不得不顶2下，虽然早就搞定了 SSDT SHADOW了 2010-1-2 16:10 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 28号去北京不知道有人接待下不，认识点朋友 2010-1-2 16:17 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼楼主有心总结一下，很好。但是关于win32k在system进程空间为何不能访问的问题，楼主错得很严重。从win32k的调用频度讲，任何一种页交换算法都不会将其交换出物理内存，根本原因是相应的PTE根本就没有进行映射，也就是PTE无效，并非什么页换出，这个和Session有关。还有什么GUI进程的问题也不对，除了system和smss进程无法访问win32k的地址外，其它进程都可以访问，包括CUI进程也可以。这个我也是刚意识到。 2010-1-2 16:47 0
niuhacker 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 107 粉丝 0 关注私信	niuhacker 9 楼为什么删除了？没赶上 2010-1-2 20:57 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 10 楼我是新手，学习膜拜 2010-1-4 21:04 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 11 楼为什么删除了啊？正好想要学习。。。 2010-1-25 11:57 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 12 楼小灰猫很可爱。支持一下。 2010-2-11 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 SSDT泛滥成河啊，但是以关键字“SSDT”在论坛安全编程版块搜索，发现问问题的还是很多，为什么呢？我觉得主要都是这些资料零散，没有串在一起。比如有的人想恢复有的人想HOOK，但是目前看到得文章，都是偏安一角，要么讲原理，要么贴代码，所以就把之前总结的点东西共享出来，我想之后再学SSDT及SSDT Shadow有这些文章足矣了，应该没什么大的问题了。当然文章肯定存在很多不足地方，欢迎大家指正。广为流传的：李马的《城里城外看SSDT》 zhuwg的shadow ssdt学习笔记(一)(二) sislcb的《Hook Shadow SSDT》 ASMHacker的《重现SSDT-Shadow Hook编译通过的代码,献给所有,有共享精神的人》 2010-1-2 16:03 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼觉得无用的飘过觉得有用的仔细阅读下，肯定豁然开朗 2010-1-2 16:04 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 4 楼顶竹君做这么详细 SSDT 和 SHADOW 你应该是头一个。极大丰富了初学者。 2010-1-2 16:05 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼多谢大家的支持啊 2010-1-2 16:06 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 6 楼论坛上有不少人发的帖子讲的比较隐讳。你这个真是太好了，建议大家向你学习，不得不顶2下，虽然早就搞定了 SSDT SHADOW了 2010-1-2 16:10 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 28号去北京不知道有人接待下不，认识点朋友 2010-1-2 16:17 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼楼主有心总结一下，很好。但是关于win32k在system进程空间为何不能访问的问题，楼主错得很严重。从win32k的调用频度讲，任何一种页交换算法都不会将其交换出物理内存，根本原因是相应的PTE根本就没有进行映射，也就是PTE无效，并非什么页换出，这个和Session有关。还有什么GUI进程的问题也不对，除了system和smss进程无法访问win32k的地址外，其它进程都可以访问，包括CUI进程也可以。这个我也是刚意识到。 2010-1-2 16:47 0
niuhacker 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 107 粉丝 0 关注私信	niuhacker 9 楼为什么删除了？没赶上 2010-1-2 20:57 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 10 楼我是新手，学习膜拜 2010-1-4 21:04 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 11 楼为什么删除了啊？正好想要学习。。。 2010-1-25 11:57 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 12 楼小灰猫很可爱。支持一下。 2010-2-11 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复