[求助]win10 x64下如何去掉用户态dll数字签名验证-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 2 楼自己顶一下。有没有别的方法 2018-12-3 11:02 0
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 3 楼自己顶一下。需要修改g_CiOptions么？ 2018-12-4 07:55 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 4 楼当年逆向某数字知道的,应用层hook NtCreateSection 替换掉handle（这个handle在内核创建或打开），应用场景是注入dll 在dll加载回调中实现. 2018-12-10 16:34 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼也可以把civalid函数返回正确的 2018-12-11 19:13 0
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 6 楼 MaMy 也可以把civalid函数返回正确的 ok 解决了，就是楼上的方法。 2018-12-28 08:41 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 7 楼 6666 2018-12-30 14:06 0
YamingW 雪币： 212 活跃值： (855) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	YamingW 8 楼 blknit ok 解决了，就是楼上的方法。请问具体如何修改？我把两个函数直接返回0，Ci报错。已过pG，去Ci自校验。 2018-12-31 18:26 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 9 楼最简单的 eprocess修改两个标志位 +0x6b8 WnfContext : Ptr64 Void +0x6c0 ServerSilo : Ptr64 _EJOB +0x6c8 SignatureLevel : UChar -<<<<< +0x6c9 SectionSignatureLevel : UChar -<<<<< 2018-12-31 19:20 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 10 楼另外 win10还会遇到一个问题,就是会提示ci错误的进程,有一个eprocess的标志位决定是否可以申请内存还是什么的..具体忘了,好像叫什么codexxxx 2018-12-31 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 2 楼自己顶一下。有没有别的方法 2018-12-3 11:02 0
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 3 楼自己顶一下。需要修改g_CiOptions么？ 2018-12-4 07:55 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 4 楼当年逆向某数字知道的,应用层hook NtCreateSection 替换掉handle（这个handle在内核创建或打开），应用场景是注入dll 在dll加载回调中实现. 2018-12-10 16:34 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼也可以把civalid函数返回正确的 2018-12-11 19:13 0
blknit 雪币： 12 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	blknit 6 楼 MaMy 也可以把civalid函数返回正确的 ok 解决了，就是楼上的方法。 2018-12-28 08:41 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 7 楼 6666 2018-12-30 14:06 0
YamingW 雪币： 212 活跃值： (855) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	YamingW 8 楼 blknit ok 解决了，就是楼上的方法。请问具体如何修改？我把两个函数直接返回0，Ci报错。已过pG，去Ci自校验。 2018-12-31 18:26 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 9 楼最简单的 eprocess修改两个标志位 +0x6b8 WnfContext : Ptr64 Void +0x6c0 ServerSilo : Ptr64 _EJOB +0x6c8 SignatureLevel : UChar -<<<<< +0x6c9 SectionSignatureLevel : UChar -<<<<< 2018-12-31 19:20 0
放学打我不雪币： 4006 活跃值： (731) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 10 楼另外 win10还会遇到一个问题,就是会提示ci错误的进程,有一个eprocess的标志位决定是否可以申请内存还是什么的..具体忘了,好像叫什么codexxxx 2018-12-31 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复