[求助][求助]过TP保护-KiAttachProcess恢复后怎么会蓝屏？？？代码如下-付费问答-看雪论坛-安全社区|非营利性质技术交流社区

[旧帖] [求助][求助]过TP保护-KiAttachProcess恢复后怎么会蓝屏？？？代码如下 0.00雪花

发表于: 2013-6-9 09:10 1964

[旧帖] [求助][求助]过TP保护-KiAttachProcess恢复后怎么会蓝屏？？？代码如下 0.00雪花

韩寒a

2013-6-9 09:10

1964

#include <ntddk.h>
#include <windef.h>
#include <ntimage.h>

int KiAttach_dizhi,KiAttach_dizhi2,KiAttach_dnf,KiAttach_dnfhf;
char code3=(char)0xb8,code4=(char)0xe9;

__declspec(naked) void My_Kiattchprocess()
{
  __asm
  {
    mov edi,edi
    push ebp
    mov ebp,esp
    jmp KiAttach_dizhi2
  }
}

void KiAttachProcess1()
{
  char code=(char)0xe8;

  KiAttach_dizhi=GetFunCtionAddr(L"KeAttachProcess");
  KiAttach_dizhi=GetCallAddr(SearchFeature(KiAttach_dizhi,&code,1));
  KiAttach_dnfhf=KiAttach_dizhi+1;
  KiAttach_dizhi2=KiAttach_dizhi+5;
  KiAttach_dnf=KiAttach_dizhi+1;
  KiAttach_dnf=*(int*)KiAttach_dnf;
  temp=(int)&My_Kiattchprocess;
//要跳转到的地址(计算后的地址)
  temp=temp-((int)&dm1[1])-4;
  RtlMoveMemory((int*)KiAttach_dizhi,&code4,1);
  RtlMoveMemory((int*)KiAttach_dnfhf,&temp,4);
  DbgPrint("hook KiAttachProcess成功\n");

}

void UnKiAttachProcess1()
{
  RtlMoveMemory((int*)KiAttach_dizhi,&code3,1);
  RtlMoveMemory((int*)KiAttach_dnfhf,&KiAttach_dnf,4);
  DbgPrint("KiAttachProcess卸载成功\n");
}

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
韩寒a 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	韩寒a 2 楼这个已经解决了哦 2013-6-9 22:36 0
暗夜有魅雪币： 73 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	暗夜有魅 3 楼怎么解决的？？？？ 2013-8-1 17:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

韩寒a

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
韩寒a 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	韩寒a 2 楼这个已经解决了哦 2013-6-9 22:36 0
暗夜有魅雪币： 73 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	暗夜有魅 3 楼怎么解决的？？？？ 2013-8-1 17:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复