[求助]急啊..R3的ContextThread不经过内核PsGetContextThread吗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-5-1 02:34 2 楼 0 又一个怼硬断的
TkBinary 雪币： 2457 活跃值： (9275) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2018-5-1 09:22 3 楼 0 ring 3 跟到 0环,看看是哪个调用的
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2018-5-1 12:11 4 楼 0 wow64的进程不走这个函数哦 32位进程在64位下的context获取走NtQueryInformationThread
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 32 粉丝 1 关注私信	武装的蔷薇 2018-5-1 15:31 5 楼 0 张新琪 ring 3 跟到 0环,看看是哪个调用的跟到syscall之后怎么继续跟呢
TkBinary 雪币： 2457 活跃值： (9275) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2018-5-1 16:35 6 楼 0 内核中,好像是 MSR 176寄存器, 保存着EIP地址. 读出寄存器内容来,看看是不是一个地址,如果是对它进行反汇编看看. systemcall 指令好像不是这个了. 网上搜一下.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-5-1 02:34 2 楼 0 又一个怼硬断的
TkBinary 雪币： 2457 活跃值： (9275) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2018-5-1 09:22 3 楼 0 ring 3 跟到 0环,看看是哪个调用的
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2018-5-1 12:11 4 楼 0 wow64的进程不走这个函数哦 32位进程在64位下的context获取走NtQueryInformationThread
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 32 粉丝 1 关注私信	武装的蔷薇 2018-5-1 15:31 5 楼 0 张新琪 ring 3 跟到 0环,看看是哪个调用的跟到syscall之后怎么继续跟呢
TkBinary 雪币： 2457 活跃值： (9275) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2018-5-1 16:35 6 楼 0 内核中,好像是 MSR 176寄存器, 保存着EIP地址. 读出寄存器内容来,看看是不是一个地址,如果是对它进行反汇编看看. systemcall 指令好像不是这个了. 网上搜一下.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复