能力值:
( LV9,RANK:200 )
|
-
-
26 楼
虽然以前做过,但是过滤,还没弄过 谢谢了
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
好~!!!留个脚印·!做个记号~!
|
能力值:
( LV5,RANK:71 )
|
-
-
28 楼
看了此贴,许多疑问豁然开朗,感谢楼主和看雪提供这么好的学习平台。
|
能力值:
( LV13,RANK:280 )
|
-
-
29 楼
如果只是用的话,其实这部分完全不用重新写,可以就用360原版的
但要是为了学习还是要仔细看的
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
你就不能上传文件吗?
|
能力值:
( LV13,RANK:220 )
|
-
-
31 楼
学习下拉拉 
|
能力值:
( LV6,RANK:90 )
|
-
-
32 楼
强人出手~~果然非同凡响
|
能力值:
( LV4,RANK:50 )
|
-
-
33 楼
8撮,看过了。
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
好球,顶一个
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
_declspec (naked) NTSTATUS FakeKiFastCallEntry()
{
_asm
{
mov edi,edi
pushfd
pushad
push edi
push ebx
push eax
call SysCallfilter
mov dword ptr [esp+10h],eax
popad
popfd
sub esp, ecx
shr ecx, 2
push RetAddress
retn
}
}
mov dword ptr [esp+10h],eax
这个是eax是返回的调用地址,为什么要放到esp+10里面去呢?
这个esp+10的地址和ebx有什么关系吗?
就这儿没看明白了,希望 楼主不吝赐教
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
好东西,值得顶起
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
好好学习,顶
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
mov eax,dword ptr [ebp+4h]
这句是不是应该改成 mov eax,dword ptr [esp+4h],[ebp+4h]在xp sp3上是ret那条返回指令,还没有回到kifastcallentry,esp+4h才是回到kifastcallentry的地址。
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
膜拜 
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
谢谢楼主分析,mark~!@
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
好文,关注ing
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
我是小菜一个,学习了,谢谢楼主
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
RtlCopyMemory((BYTE *)PatchAddr,ReplaceHead2,5);
你如何确保调用这句的时候别的线程正踩着PatchAddr或者做着类似的操作?
|
能力值:
( LV4,RANK:50 )
|
-
-
44 楼
先收藏了,有时间看
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
写的太给力了。。。对学习内核很有帮助啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
46 楼
还有汇编啊.......
还要多学习
|
能力值:
( LV9,RANK:165 )
|
-
-
47 楼
我最近也打算写呢,既然楼主写了,膜拜一把…
我现在的GoOrNot经常卡死整个系统…
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
学习下,感谢。
|
|
|
|
