-
-
NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问
-
发表于:
2013-1-10 16:40
6971
-
NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问
NtSystemDebugControl修改EPROCESS隐藏进程时返回值提示拒绝访问
谁有文章告诉我下 利用NtSystemDebugControl 实现隐藏进程的 R3层的
请问是不是XP系统要在 /DEBUG 的环境下才能调用成功这个函数 可是我在BOOT.INI 加了/DEBUG了还是不行
我的代码大概是这样
.版本 2
len = 取字节集长度 (数据)
MEMORY_CHUNKS = 取字节集左边 (到字节集 (地址), 4) + 到字节集 (_取指针_字节集 (数据, 数据, 0)) + 到字节集 (len)
' 到整数 ({ 188, 55, 86, 128, 192, 120, 21, 0, 4, 0, 0, 0 })) //这个是整数型的机器指令 就是MEMORY_CHUNKS的值
前面已经成功获取了EPROCESS了 但但是下面修改还是不行
status = NtSystemDebugControl (11, MEMORY_CHUNKS, 12, 0, 0, retlen) ' 12为MEMORY_CHUNKS的长度
status=0xc0000022 好像就是拒绝访问的意思 我网络上搜索的
[课程]FART 脱壳王!加量不加价!FART作者讲授!
