[原创]DanderSpritz 删除单条事件日志功能逆向还原-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2017-7-19 09:16 2 楼 0 libyal这老哥下面有超多解析windows未公开结构的库
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-7-19 09:48 3 楼 0 hzqst libyal这老哥下面有超多解析windows未公开结构的库看了一下还真是, 之前都没看...
liguangzhi 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	liguangzhi 2017-8-8 09:10 4 楼 0 在win7 32/64测试失败了，不知道是不是操作错误导致的。
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-8-23 14:33 5 楼 0 liguangzhi 在win7 32/64测试失败了，不知道是不是操作错误导致的。我自己在 Win7 SP1 32 和 2008 R2 测试过是可以的
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 2017-8-24 17:05 6 楼 0 win7&nbsp; 32位和64位测试GetObjectFromOffset里面的ptr_EventService_vftable&nbsp; =&nbsp; (PBYTE&nbsp; )(ptr&nbsp; +&nbsp; v2);&nbsp; 为空。。
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 2017-8-28 16:05 7 楼 0 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetModuleHandle，GetObjectFromOffset里面的ptr_EventService_vftable = (PBYTE )(ptr + v2); 为空。。
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-8-31 09:27 8 楼 0 studytoNB 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetMod ... 对..是要注入到事件日志服务所在进程
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2017-7-19 09:16 2 楼 0 libyal这老哥下面有超多解析windows未公开结构的库
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-7-19 09:48 3 楼 0 hzqst libyal这老哥下面有超多解析windows未公开结构的库看了一下还真是, 之前都没看...
liguangzhi 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	liguangzhi 2017-8-8 09:10 4 楼 0 在win7 32/64测试失败了，不知道是不是操作错误导致的。
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-8-23 14:33 5 楼 0 liguangzhi 在win7 32/64测试失败了，不知道是不是操作错误导致的。我自己在 Win7 SP1 32 和 2008 R2 测试过是可以的
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 2017-8-24 17:05 6 楼 0 win7&nbsp; 32位和64位测试GetObjectFromOffset里面的ptr_EventService_vftable&nbsp; =&nbsp; (PBYTE&nbsp; )(ptr&nbsp; +&nbsp; v2);&nbsp; 为空。。
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 2017-8-28 16:05 7 楼 0 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetModuleHandle，GetObjectFromOffset里面的ptr_EventService_vftable = (PBYTE )(ptr + v2); 为空。。
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 17 粉丝 1 关注私信	污师 2 2017-8-31 09:27 8 楼 0 studytoNB 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetMod ... 对..是要注入到事件日志服务所在进程
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复