-
-
[旧帖] [求助]W7 下 Shadow SSDT 的一些疑問 0.00雪花
-
发表于: 2011-4-3 14:25
-
小弟是個新手,昨天GOOGLE了一整晚找不太到相關資料 (應該說是試過好像都失敗)
以下是代碼,小弟原先是使用其他大大寫的GetCsrPid(),但GOOGLE到說W7附加csrss不行
所以先改成用explorer的PID去測試,測試過PsLookupProcessByProcessId能夠成功
但是KeAttachProcess時候老是BSOD,
不知道有無大大能協助一下,一直卡在這裡了
小弟作業系統 W7 X86
int ShadowHook()
{
NTSTATUS status;
ULONG Addresss;
char * test;
ShadowAddress = *(ULONG*)ShadowAddress;
DbgPrint("Shadow SSDT Table -> %08X",(ULONG)ShadowAddress );
status = PsLookupProcessByProcessId((HANDLE)0x248,&crsEProc);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId Error\n");
return status;
}
test = _strupr(PsGetProcessImageFileName(crsEProc));
DbgPrint("%s",test);
KeAttachProcess(crsEProc);
DbgPrint("KeAttachProcess Success\n");
}
以下是代碼,小弟原先是使用其他大大寫的GetCsrPid(),但GOOGLE到說W7附加csrss不行
所以先改成用explorer的PID去測試,測試過PsLookupProcessByProcessId能夠成功
但是KeAttachProcess時候老是BSOD,
不知道有無大大能協助一下,一直卡在這裡了
小弟作業系統 W7 X86
int ShadowHook()
{
NTSTATUS status;
ULONG Addresss;
char * test;
ShadowAddress = *(ULONG*)ShadowAddress;
DbgPrint("Shadow SSDT Table -> %08X",(ULONG)ShadowAddress );
status = PsLookupProcessByProcessId((HANDLE)0x248,&crsEProc);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId Error\n");
return status;
}
test = _strupr(PsGetProcessImageFileName(crsEProc));
DbgPrint("%s",test);
KeAttachProcess(crsEProc);
DbgPrint("KeAttachProcess Success\n");
}
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
