PsSetLoadImageNotifyRoutine中修改镜像内容-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你这样把页保护机制关掉了，Cow就不起作用了，相当于全局写入，想达到你的效果就用MDL吧，不要关Cr0~~ 2011-12-7 10:32 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 3 楼用NtProtectVirtualMemory，这样不用关Cr0 不过这个api地址要自己获取 2011-12-7 11:16 0
classfree 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	classfree 4 楼首先感谢楼上两位热心回答！我尝试过，使用MDL代替CR0，一样可以修改，但是修改一次过后，同样后面再次运行这个程序时，导入表地址都是改边了的。现在我只能采用一个笨办法，用一张表来保存所有修改过的IAT信息，在进程结束的时候把IAT地址修改回来。不知道还有没有更好的办法。 2011-12-18 15:34 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼 NtProtectXXX,NtWriteXXX 2011-12-18 18:02 0
zmfu 雪币： 329 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	zmfu 6 楼不想用NtProtectXXX,NtWriteXXX的可以处理一下copy-on-write bit 2012-5-31 19:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你这样把页保护机制关掉了，Cow就不起作用了，相当于全局写入，想达到你的效果就用MDL吧，不要关Cr0~~ 2011-12-7 10:32 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 3 楼用NtProtectVirtualMemory，这样不用关Cr0 不过这个api地址要自己获取 2011-12-7 11:16 0
classfree 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	classfree 4 楼首先感谢楼上两位热心回答！我尝试过，使用MDL代替CR0，一样可以修改，但是修改一次过后，同样后面再次运行这个程序时，导入表地址都是改边了的。现在我只能采用一个笨办法，用一张表来保存所有修改过的IAT信息，在进程结束的时候把IAT地址修改回来。不知道还有没有更好的办法。 2011-12-18 15:34 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼 NtProtectXXX,NtWriteXXX 2011-12-18 18:02 0
zmfu 雪币： 329 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	zmfu 6 楼不想用NtProtectXXX,NtWriteXXX的可以处理一下copy-on-write bit 2012-5-31 19:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复