[求助]PspProcessOpen-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼 NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason, KPROCESSOR_MODE AccessMode, PEPROCESS TargetProcess, PVOID Object, PACCESS_MARK GrantedAccess, ULONG HandleCount); 2018-1-26 22:56 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 4 楼 Tennn ``` NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason, KPROCESSOR_MODE ... 感谢！原谅我再问一个问题。。从Object加多少偏移可以获得进程路径。。 2018-1-26 22:58 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 5 楼叭叭叭 21fc8cfce5e8e03f5b9f738778cf14f9这个吗？[em_1] 我太菜了看不懂。。。 2018-1-26 22:59 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 6 楼 WhiteLearner 感谢！原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。还有就是我看有的代码上写9个参数，x64是9个参数么。。 2018-1-26 23:00 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 7 楼这是win8.1 这是windows内部函数说明他们想怎么改就怎么改但是你说9个参数.. 那windows架构也有点扯可能大版本更新同版本x86 x64 参数肯定相同不同杀了拖出去祭天内部实现可能会不同 2018-1-26 23:29 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 8 楼我在win7 x64 windbg看了一下这个函数，开头是mov rcx,[rsp+28],所以想着9个参数，并且调用自定义PspProcessOpen的时候，定义6,7,8,9个参数都能运行。。。。然后网上一篇文章分析的xp和vista的系统说这个函数64位下定义9个参数以下会蓝屏，我没虚拟机没测试。。 2018-1-27 00:03 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼那是第6个参数说定义九个参数的博主文章你还是别再看了… 不蓝是运气好 2018-1-27 11:34 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 10 楼 NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE Mode, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, PULONG Flags, PVOID Entry) { //for vista + NTSTATUS NewPspProcessOpenXP(OB_OPEN_REASON reason, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, ULONG a4, ULONG a5) { //for xp only 2018-1-28 10:14 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 11 楼 WhiteLearner 感谢！原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。 SeLocateProcessImageName 2018-1-28 10:15 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 12 楼 hzqst NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE&nbs ... 请问这些参数你是咋分析出来的 2018-12-6 17:19 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 13 楼 wx_clay 请问这些参数你是咋分析出来的我哥哥是鲍尔默，我写邮件让他把windows源码发我 2018-12-6 18:51 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 14 楼 hzqst 我哥哥是鲍尔默，我写邮件让他把windows源码发我 ==原来是从WRK里看的，我也找到了 2018-12-6 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼 NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason, KPROCESSOR_MODE AccessMode, PEPROCESS TargetProcess, PVOID Object, PACCESS_MARK GrantedAccess, ULONG HandleCount); 2018-1-26 22:56 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 4 楼 Tennn ``` NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason, KPROCESSOR_MODE ... 感谢！原谅我再问一个问题。。从Object加多少偏移可以获得进程路径。。 2018-1-26 22:58 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 5 楼叭叭叭 21fc8cfce5e8e03f5b9f738778cf14f9这个吗？[em_1] 我太菜了看不懂。。。 2018-1-26 22:59 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 6 楼 WhiteLearner 感谢！原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。还有就是我看有的代码上写9个参数，x64是9个参数么。。 2018-1-26 23:00 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 7 楼这是win8.1 这是windows内部函数说明他们想怎么改就怎么改但是你说9个参数.. 那windows架构也有点扯可能大版本更新同版本x86 x64 参数肯定相同不同杀了拖出去祭天内部实现可能会不同 2018-1-26 23:29 0
WhiteLearner 雪币： 207 活跃值： (101) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 19 粉丝 1 关注私信	WhiteLearner 8 楼我在win7 x64 windbg看了一下这个函数，开头是mov rcx,[rsp+28],所以想着9个参数，并且调用自定义PspProcessOpen的时候，定义6,7,8,9个参数都能运行。。。。然后网上一篇文章分析的xp和vista的系统说这个函数64位下定义9个参数以下会蓝屏，我没虚拟机没测试。。 2018-1-27 00:03 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼那是第6个参数说定义九个参数的博主文章你还是别再看了… 不蓝是运气好 2018-1-27 11:34 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 10 楼 NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE Mode, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, PULONG Flags, PVOID Entry) { //for vista + NTSTATUS NewPspProcessOpenXP(OB_OPEN_REASON reason, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, ULONG a4, ULONG a5) { //for xp only 2018-1-28 10:14 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 11 楼 WhiteLearner 感谢！原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。 SeLocateProcessImageName 2018-1-28 10:15 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 12 楼 hzqst NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE&nbs ... 请问这些参数你是咋分析出来的 2018-12-6 17:19 0
hzqst 雪币： 12848 活跃值： (9143) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 566 关注私信	hzqst 3 13 楼 wx_clay 请问这些参数你是咋分析出来的我哥哥是鲍尔默，我写邮件让他把windows源码发我 2018-12-6 18:51 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 14 楼 hzqst 我哥哥是鲍尔默，我写邮件让他把windows源码发我 ==原来是从WRK里看的，我也找到了 2018-12-6 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复