能力值:
( LV5,RANK:68 )
|
-
-
2 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
万剑归宗
山总不知道什么情况,我们也不知道什么情况
这并不好笑! 首先我来问问题,确实是我不懂才来问 我也不是什么山总,我根本不知道山总是个什么玩意!
|
能力值:
( LV3,RANK:35 )
|
-
-
5 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV13,RANK:420 )
|
-
-
6 楼
你需要日掉RtlpxLookupFunctionTable
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
抄BLACKBONE你好歹看看commits吧.. 山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
MFC42.DLL找“喊话CALL”
|
能力值:
( LV9,RANK:280 )
|
-
-
10 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV3,RANK:35 )
|
-
-
11 楼
方法一:动态找 RtlInsertInvertedFunctionTable 调用,插入当前驱动模块基址和大小,WIN7 没问题,WIN10 PG蓝屏 方法二:动态找 MiProcessLoaderEntry 调用,WIN7-WIN10 都不触发PG,缺点,你的驱动模块可以枚举出来。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
山总不知道什么情况,我们也不知道什么情况
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
6楼说的对,x86异常靠栈,x64靠表 参考RtlInsertInvertedFunctionTable
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
不要用SAFESEH ,加载驱动和被加载驱动都用VS2008编译。2015的坑太多。
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
还有尽量别用这种方式否则在WIN10开启了内核隔离,你会死的很惨。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
StriveXjun
方法一:动态找 RtlInsertInvertedFunctionTable 调用,插入当前驱动模块基址和大小,WIN7 没问题,WIN10 PG蓝屏
方法二:动态找 MiProcessLoader ...
非常感谢,唉
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
EvilTobe
6楼说的对,x86异常靠栈,x64靠表 参考RtlInsertInvertedFunctionTable
谢
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
StriveXjun
方法一:动态找 RtlInsertInvertedFunctionTable 调用,插入当前驱动模块基址和大小,WIN7 没问题,WIN10 PG蓝屏
方法二:动态找 MiProcessLoader ...
RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIsAddressValid((PVOID)pAddress)) break; pAddress = (PUCHAR)GetUndocumentFunctionAddressEx(NULL, pAddress, code, 5, 0x200, 0x90, 4, FALSE); if (!MmIsAddressValid(pAddress)) break; PsTable = GetLeaPoint(pAddress); if (!MmIsAddressValid(PsTable)) break; pfnRtlInsertInvertedFunctionTable = (RtlInsertInvertedFunctionTableWin7)GetCallAddress(pAddress + 7); if (!MmIsAddressValid((PVOID)pfnRtlInsertInvertedFunctionTable)) break; status = pfnRtlInsertInvertedFunctionTable(PsTable, pDriverInfo->ImageBase, pDriverInfo->ImageSize); } while (FALSE); 似乎没有作用
|
能力值:
( LV3,RANK:35 )
|
-
-
19 楼
老坛酸菜TM
RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL;
do
{
if (!MmIs ...
参考:https://github.com/strivexjun/MemoryModulePP/blob/master/MemoryModulePP.c 驱动层是一样的
|
能力值:
( LV9,RANK:180 )
|
-
-
20 楼
月入数十万的山总老是问这种问题,你的绝地驱动又不行了?
|
|
|