[原创]DanderSpritz 删除单条事件日志功能逆向还原-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (7)
hzqst 雪币： 12885 活跃值： (9417) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1790 粉丝 619 关注私信	hzqst 3 2 楼 libyal这老哥下面有超多解析windows未公开结构的库 2017-7-19 09:16 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 3 楼 hzqst libyal这老哥下面有超多解析windows未公开结构的库看了一下还真是, 之前都没看... 2017-7-19 09:48 0
liguangzhi 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	liguangzhi 4 楼在win7 32/64测试失败了，不知道是不是操作错误导致的。 2017-8-8 09:10 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 5 楼 liguangzhi 在win7 32/64测试失败了，不知道是不是操作错误导致的。我自己在 Win7 SP1 32 和 2008 R2 测试过是可以的 2017-8-23 14:33 0
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 6 楼 win7&nbsp; 32位和64位测试GetObjectFromOffset里面的ptr_EventService_vftable&nbsp; =&nbsp; (PBYTE&nbsp; )(ptr&nbsp; +&nbsp; v2);&nbsp; 为空。。 2017-8-24 17:05 0
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 7 楼这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetModuleHandle，GetObjectFromOffset里面的ptr_EventService_vftable = (PBYTE )(ptr + v2); 为空。。 2017-8-28 16:05 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 8 楼 studytoNB 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetMod ... 对..是要注入到事件日志服务所在进程 2017-8-31 09:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
hzqst 雪币： 12885 活跃值： (9417) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1790 粉丝 619 关注私信	hzqst 3 2 楼 libyal这老哥下面有超多解析windows未公开结构的库 2017-7-19 09:16 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 3 楼 hzqst libyal这老哥下面有超多解析windows未公开结构的库看了一下还真是, 之前都没看... 2017-7-19 09:48 0
liguangzhi 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	liguangzhi 4 楼在win7 32/64测试失败了，不知道是不是操作错误导致的。 2017-8-8 09:10 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 5 楼 liguangzhi 在win7 32/64测试失败了，不知道是不是操作错误导致的。我自己在 Win7 SP1 32 和 2008 R2 测试过是可以的 2017-8-23 14:33 0
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 6 楼 win7&nbsp; 32位和64位测试GetObjectFromOffset里面的ptr_EventService_vftable&nbsp; =&nbsp; (PBYTE&nbsp; )(ptr&nbsp; +&nbsp; v2);&nbsp; 为空。。 2017-8-24 17:05 0
studytoNB 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	studytoNB 7 楼这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetModuleHandle，GetObjectFromOffset里面的ptr_EventService_vftable = (PBYTE )(ptr + v2); 为空。。 2017-8-28 16:05 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 2 关注私信	污师 2 8 楼 studytoNB 这个dll工程是要注入到别的进程运行吗？新建的一个控制台程序GetModuleHandle(TEXT("wevtsvc.dll"))是空的啊，loadlibrary后在GetMod ... 对..是要注入到事件日志服务所在进程 2017-8-31 09:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复