[求助] 闲的没事分析Steam 发现个蜜汁BUG-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 2 楼登录流程。。呵呵 2018-9-8 21:02 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼我来翻译下：请问如何编写驱动级盗号工具？ 2018-9-8 21:45 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 4 楼 hzqst 我来翻译下：请问如何编写驱动级盗号工具？大表哥过于直白盗号没兴趣只是想知道这个保护效果是什么原理能实现R0访问就直接蓝屏 2018-9-8 21:57 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 5 楼而且最关键的是 R3却正常感觉像是完全反过来了 2018-9-8 21:58 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 6 楼如果你仅仅是读写内存，看在你dump 都有200条了我告诉你，你去了解下CR3大法，R0读写内存很容易的 KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG_PTR cr0 = __readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); _disable(); 再 ExAllocatePoolWithTag。。。。。RtlCopyMemory。。。。。就行了。 2018-9-16 22:10 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 7 楼 hzqst 我来翻译下：请问如何编写驱动级盗号工具？ hzqst 向来一针见血一剑封侯 2018-9-16 22:11 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 8 楼老坛酸菜TM 如果你仅仅是读写内存，看在你dump 都有200条了我告诉你，你去了解下CR3大法，R0读写内存很容易的 KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG ... 问题已经找到 r3 之所以无视内存属性读写是微软爸爸的设计为了方便调试器所做的优化在有足够权限的情况下是直接可以不需要修改内存属性进行读写的， R0 的问题我用就是CR3大法 , 至于MDL映射蓝屏是因为dll COW 原因导致MDL映射内存失败， Zw修改内存属性失败的原因是因为回调死锁的原因,总的来说就是代码不严谨，一个BUG导致我陷入了误区之中，谢谢两位大神的指导 2018-9-17 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 2 楼登录流程。。呵呵 2018-9-8 21:02 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼我来翻译下：请问如何编写驱动级盗号工具？ 2018-9-8 21:45 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 4 楼 hzqst 我来翻译下：请问如何编写驱动级盗号工具？大表哥过于直白盗号没兴趣只是想知道这个保护效果是什么原理能实现R0访问就直接蓝屏 2018-9-8 21:57 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 5 楼而且最关键的是 R3却正常感觉像是完全反过来了 2018-9-8 21:58 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 6 楼如果你仅仅是读写内存，看在你dump 都有200条了我告诉你，你去了解下CR3大法，R0读写内存很容易的 KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG_PTR cr0 = __readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); _disable(); 再 ExAllocatePoolWithTag。。。。。RtlCopyMemory。。。。。就行了。 2018-9-16 22:10 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 7 楼 hzqst 我来翻译下：请问如何编写驱动级盗号工具？ hzqst 向来一针见血一剑封侯 2018-9-16 22:11 0
starkin 雪币： 103 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	starkin 8 楼老坛酸菜TM 如果你仅仅是读写内存，看在你dump 都有200条了我告诉你，你去了解下CR3大法，R0读写内存很容易的 KIRQL irql = KeRaiseIrqlToDpcLevel(); ULONG ... 问题已经找到 r3 之所以无视内存属性读写是微软爸爸的设计为了方便调试器所做的优化在有足够权限的情况下是直接可以不需要修改内存属性进行读写的， R0 的问题我用就是CR3大法 , 至于MDL映射蓝屏是因为dll COW 原因导致MDL映射内存失败， Zw修改内存属性失败的原因是因为回调死锁的原因,总的来说就是代码不严谨，一个BUG导致我陷入了误区之中，谢谢两位大神的指导 2018-9-17 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复