[求助]求助r0 NtDeviceIoControlFile hook这个函数的问题-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼线程 2018-12-27 14:01 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼先调用原来的NtDeviceIoControlFile 然后判断OutputBufferLength是否为0，OutputBuffer是否为空不为0也不为空，就可以直接访问，或者用MDL锁住再访问 64位下先取gs:[188h]，再加偏移60h还是70h就可以追溯到process 叫什么get...process...函数不记得了 2018-12-27 14:06 0
zhatian 雪币： 6544 活跃值： (3862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 4 楼 github 一搜一大堆，需要就联系我 2018-12-27 14:55 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 5 楼这个api走到驱动层就是 afd了 afd在走就是tdi了，你直接attach tdi跟这不是一样的效果？还特意去hook ，搞的64位不兼容？你肯定又是山总 2018-12-27 15:20 0
天下肥猫雪币： 13 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	天下肥猫 6 楼声明一下！我不是什么山总，关于去年发的帖子今天才看到回复比较晚了抱歉！关于这个问题已经解决了。而且也做到了一个很不错的效果，ph查不到hook的位置，算是意外发现！在此感谢楼上4位朋友回帖。 2019-3-20 02:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼线程 2018-12-27 14:01 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼先调用原来的NtDeviceIoControlFile 然后判断OutputBufferLength是否为0，OutputBuffer是否为空不为0也不为空，就可以直接访问，或者用MDL锁住再访问 64位下先取gs:[188h]，再加偏移60h还是70h就可以追溯到process 叫什么get...process...函数不记得了 2018-12-27 14:06 0
zhatian 雪币： 6544 活跃值： (3862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 4 楼 github 一搜一大堆，需要就联系我 2018-12-27 14:55 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 5 楼这个api走到驱动层就是 afd了 afd在走就是tdi了，你直接attach tdi跟这不是一样的效果？还特意去hook ，搞的64位不兼容？你肯定又是山总 2018-12-27 15:20 0
天下肥猫雪币： 13 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	天下肥猫 6 楼声明一下！我不是什么山总，关于去年发的帖子今天才看到回复比较晚了抱歉！关于这个问题已经解决了。而且也做到了一个很不错的效果，ph查不到hook的位置，算是意外发现！在此感谢楼上4位朋友回帖。 2019-3-20 02:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]求助r0 NtDeviceIoControlFile hook这个函数的问题