[讨论]Win7 和Vista下怎么定位 ssdt shadow-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 2 楼 http://bbs.pediy.com/showthread.php?t=101165 2011-2-10 11:36 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 3 楼还有一个问题不是都说在win7或是vista下想要AttachProcess上 cress.exe 不是不行了吗? 请问该如何操作呢？ 2011-2-10 11:58 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 4 楼 http://hi.baidu.com/_achillis/blog/item/da88bb195b75ef0c34fa4173.html 多利用搜索引擎。 2011-2-10 13:38 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 5 楼谢谢朋友，xp下我按照网上说的方法是可以找到 cress.exe 的EXPROCESS 然后 KeAttachProcess() /KeDetachProcess 那请问在win7下和vista下也可以用 xp的方法来获得吗？我记得是通过什么 21号端口的来获得是否通用呢？谢谢 2011-2-10 14:26 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 6 楼 attach上explorer.exe就行了~何必csrss.exe捏？ 2011-2-10 19:31 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 7 楼但是为什么网上的代码都是 attach 到 csrss.exe上面呢？说到这个 csrss.exe 这个程序，我看到网上有这么一段代码我就非常的纳闷，不知道你们是否也有这样的疑问呢？ http://www.cnblogs.com/Jesses/articles/1647561.html 应用这个网站上的一段代码 { HANDLE Process, hObject; HANDLE CsrId = (HANDLE)0; OBJECT_ATTRIBUTES obj; CLIENT_ID cid; UCHAR Buff[0x100]; POBJECT_NAME_INFORMATION ObjName = (PVOID)&Buff; PSYSTEM_HANDLE_INFORMATION_EX Handles; ULONG r; Handles = GetInfoTable(SystemHandleInformation); if (!Handles) return CsrId; for (r = 0; r < Handles->NumberOfHandles; r++) { if (Handles->Information[r].ObjectTypeNumber == 21) //Port object { InitializeObjectAttributes(&obj, NULL, OBJ_KERNEL_HANDLE, NULL, NULL); cid.UniqueProcess = (HANDLE)Handles->Information[r].ProcessId; cid.UniqueThread = 0; if (NT_SUCCESS(NtOpenProcess(&Process, PROCESS_DUP_HANDLE, &obj, &cid))) { if (NT_SUCCESS(ZwDuplicateObject(Process, (HANDLE)Handles->Information[r].Handle,NtCurrentProcess(), &hObject, 0, 0, DUPLICATE_SAME_ACCESS))) { if (NT_SUCCESS(ZwQueryObject(hObject, ObjectNameInformation, ObjName, 0x100, NULL))) { if (ObjName->Name.Buffer && !wcsncmp(L"\\Windows\\ApiPort", ObjName->Name.Buffer, 20)) { CsrId = (HANDLE)Handles->Information[r].ProcessId; } } ZwClose(hObject); } ZwClose(Process); } } } ExFreePool(Handles); return CsrId; } 这个函数，通过函数的意思就是说要得到 csrss.exe 这个进程的pid，为什么我看到好多都是这样写的，（下面的这个链接） http://blog.csdn.net/aliwy/archive/2009/02/24/3931305.aspx 这个里面的代码，通过进程名做个比较也可以得到pid啊而且简单易懂像第一个链接中的代码什么判断21 什么\\windows\\ApiPort 我也不懂他们是从哪里知道的要做这样的比较请大家们指点指点，非常感谢！！！！！ 2011-2-11 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 2 楼 http://bbs.pediy.com/showthread.php?t=101165 2011-2-10 11:36 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 3 楼还有一个问题不是都说在win7或是vista下想要AttachProcess上 cress.exe 不是不行了吗? 请问该如何操作呢？ 2011-2-10 11:58 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 4 楼 http://hi.baidu.com/_achillis/blog/item/da88bb195b75ef0c34fa4173.html 多利用搜索引擎。 2011-2-10 13:38 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 5 楼谢谢朋友，xp下我按照网上说的方法是可以找到 cress.exe 的EXPROCESS 然后 KeAttachProcess() /KeDetachProcess 那请问在win7下和vista下也可以用 xp的方法来获得吗？我记得是通过什么 21号端口的来获得是否通用呢？谢谢 2011-2-10 14:26 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 6 楼 attach上explorer.exe就行了~何必csrss.exe捏？ 2011-2-10 19:31 0
kondo 雪币： 256 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	kondo 7 楼但是为什么网上的代码都是 attach 到 csrss.exe上面呢？说到这个 csrss.exe 这个程序，我看到网上有这么一段代码我就非常的纳闷，不知道你们是否也有这样的疑问呢？ http://www.cnblogs.com/Jesses/articles/1647561.html 应用这个网站上的一段代码 { HANDLE Process, hObject; HANDLE CsrId = (HANDLE)0; OBJECT_ATTRIBUTES obj; CLIENT_ID cid; UCHAR Buff[0x100]; POBJECT_NAME_INFORMATION ObjName = (PVOID)&Buff; PSYSTEM_HANDLE_INFORMATION_EX Handles; ULONG r; Handles = GetInfoTable(SystemHandleInformation); if (!Handles) return CsrId; for (r = 0; r < Handles->NumberOfHandles; r++) { if (Handles->Information[r].ObjectTypeNumber == 21) //Port object { InitializeObjectAttributes(&obj, NULL, OBJ_KERNEL_HANDLE, NULL, NULL); cid.UniqueProcess = (HANDLE)Handles->Information[r].ProcessId; cid.UniqueThread = 0; if (NT_SUCCESS(NtOpenProcess(&Process, PROCESS_DUP_HANDLE, &obj, &cid))) { if (NT_SUCCESS(ZwDuplicateObject(Process, (HANDLE)Handles->Information[r].Handle,NtCurrentProcess(), &hObject, 0, 0, DUPLICATE_SAME_ACCESS))) { if (NT_SUCCESS(ZwQueryObject(hObject, ObjectNameInformation, ObjName, 0x100, NULL))) { if (ObjName->Name.Buffer && !wcsncmp(L"\\Windows\\ApiPort", ObjName->Name.Buffer, 20)) { CsrId = (HANDLE)Handles->Information[r].ProcessId; } } ZwClose(hObject); } ZwClose(Process); } } } ExFreePool(Handles); return CsrId; } 这个函数，通过函数的意思就是说要得到 csrss.exe 这个进程的pid，为什么我看到好多都是这样写的，（下面的这个链接） http://blog.csdn.net/aliwy/archive/2009/02/24/3931305.aspx 这个里面的代码，通过进程名做个比较也可以得到pid啊而且简单易懂像第一个链接中的代码什么判断21 什么\\windows\\ApiPort 我也不懂他们是从哪里知道的要做这样的比较请大家们指点指点，非常感谢！！！！！ 2011-2-11 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]Win7 和Vista下 怎么定位 ssdt shadow

[讨论]Win7 和Vista下怎么定位 ssdt shadow