[己解决]关于HOOK NtReadVirtualMemory-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 2 楼 KdPrint(("=== Addr:0x%x Size:0x%x ===", BaseAddress, BufferLength)); 這樣試下 2012-2-5 10:08 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 3 楼这样不行哟。 BaseAddress 输出的是r3堆栈的地址。(我调试了下，这个地址里就有所有的参数的正确的r3地址，不过怎么读出来呢。) BufferLength输出的是内核地址。我想知道读取的地址和大小。要是r3的正确的地址。 2012-2-5 10:19 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 4 楼搞定了。像这样就行了。 KdPrint(("=== Addr:%x Size:%x ===", (ULONG)((UCHAR)BaseAddress+4), (ULONG)((UCHAR)BaseAddress+0xc))); 原来BaseAddress r3的堆栈地址， BaseAddress 就是 r3的进程句柄 (BaseAddress+4) 就是 r3 的要读取的地址 *(BaseAddress+8) 就是 r3 绶冲区地址。。。。 2012-2-5 10:32 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 2 楼 KdPrint(("=== Addr:0x%x Size:0x%x ===", BaseAddress, BufferLength)); 這樣試下 2012-2-5 10:08 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 3 楼这样不行哟。 BaseAddress 输出的是r3堆栈的地址。(我调试了下，这个地址里就有所有的参数的正确的r3地址，不过怎么读出来呢。) BufferLength输出的是内核地址。我想知道读取的地址和大小。要是r3的正确的地址。 2012-2-5 10:19 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 4 楼搞定了。像这样就行了。 KdPrint(("=== Addr:%x Size:%x ===", (ULONG)((UCHAR)BaseAddress+4), (ULONG)((UCHAR)BaseAddress+0xc))); 原来BaseAddress r3的堆栈地址， BaseAddress 就是 r3的进程句柄 (BaseAddress+4) 就是 r3 的要读取的地址 *(BaseAddress+8) 就是 r3 绶冲区地址。。。。 2012-2-5 10:32 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复