能力值:
( LV12,RANK:380 )
|
-
-
3 楼
NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason,
KPROCESSOR_MODE AccessMode,
PEPROCESS TargetProcess,
PVOID Object,
PACCESS_MARK GrantedAccess,
ULONG HandleCount);
|
能力值:
( LV2,RANK:15 )
|
-
-
4 楼
Tennn
```
NTSTATUS PspProcessOpen(OBJ_OPEN_REASON OpenReason,
KPROCESSOR_MODE ...
感谢! 原谅我再问一个问题。。  从Object加多少偏移可以获得进程路径。。
|
能力值:
( LV2,RANK:15 )
|
-
-
5 楼
叭叭叭
21fc8cfce5e8e03f5b9f738778cf14f9这个吗?[em_1]
我太菜了 看不懂。。。
|
能力值:
( LV2,RANK:15 )
|
-
-
6 楼
WhiteLearner
感谢! 原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。
还有 就是我看有的代码上写9个参数 ,x64是9个参数么。。
|
能力值:
( LV12,RANK:380 )
|
-
-
7 楼
这是win8.1 这是windows内部函数 说明他们想怎么改就怎么改 但是你说9个参数.. 那windows架构也有点扯 可能大版本更新 同版本x86 x64 参数肯定相同 不同杀了 拖出去祭天 内部实现可能会不同
|
能力值:
( LV2,RANK:15 )
|
-
-
8 楼
我在win7 x64 windbg看了一下这个函数,开头是mov rcx,[rsp+28],所以想着9个参数,并且调用自定义PspProcessOpen的时候,定义6,7,8,9个参数都能运行。。。。然后网上一篇文章分析的xp和vista的系统 说这个函数64位下定义9个参数以下会蓝屏,我没虚拟机 没测试。。
|
能力值:
( LV12,RANK:380 )
|
-
-
9 楼
那是第6个参数 说定义九个参数的博主文章你还是别再看了… 不蓝是运气好
|
能力值:
( LV9,RANK:280 )
|
-
-
10 楼
NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE Mode, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, PULONG Flags, PVOID Entry)
{
//for vista +
NTSTATUS NewPspProcessOpenXP(OB_OPEN_REASON reason, PEPROCESS CurrentProcess, PEPROCESS OpenedProcess, ULONG a4, ULONG a5)
{
//for xp only
|
能力值:
( LV9,RANK:280 )
|
-
-
11 楼
WhiteLearner
感谢! 原谅我再问一个问题。。[em_5] 从Object加多少偏移可以获得进程路径。。
SeLocateProcessImageName
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
hzqst
NTSTATUS NewPspProcessOpen(OB_OPEN_REASON reason, KPROCESSOR_MODE&nbs ...
请问这些参数你是咋分析出来的
|
能力值:
( LV9,RANK:280 )
|
-
-
13 楼
wx_clay
请问这些参数你是咋分析出来的
我哥哥是鲍尔默,我写邮件让他把windows源码发我
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
hzqst
我哥哥是鲍尔默,我写邮件让他把windows源码发我
==原来是从WRK里看的,我也找到了
|
|
|
|
Tennn
hzqst
