[求助]NtQuerySystemInformation-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]NtQuerySystemInformation 0.00雪花

发表于: 2013-5-2 11:31 1681

[旧帖] [求助]NtQuerySystemInformation 0.00雪花

啊耿

活跃值

2013-5-2 11:31

1681

NtQuerySystemInformation过滤DLL模块进行隐藏这个函数我找了几天都找不到这个函数的传值在哪里我HOOK 尾部7个字节返回的值总是这样

一般函数的返回值不是在EAX吗为什么我的返回值总是1 还有就是麻烦高手说一下他的返回值最好给我个源码小弟多谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

9.jpg （7.13kb，2次下载）

收藏・0

免费・0

支持

分享

最新回复 (2)
asmyth 雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	asmyth 2 楼你说的“传值”是指ntquery……这个函数的返回值么？我记得它返回的是ntstatus吧，所以eax总为1应该是正常的。我记得这个函数的第四个参数代表查询的信息类别，要达到你的目的，要做的是判断当有程序查询模块的时候，直接返回拒绝或者抹掉你要隐藏的dll模块名，模块名应该也是个链表。之前看到过一个隐藏进程的例子，明天找找看。现在手机上，无力……… 2013-5-3 01:45 0
asmyth 雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	asmyth 3 楼错了，第一个参数就是 2013-5-3 04:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

啊耿

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//