[分享]个人优化版的GetKeServiceDescriptorTable64-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 2 楼你这个内存搜索不能带通配符, 给你一个带通配的。 int CSearchMem::SearchAddress(int inStartAddr, int inSize, const byte* pOpCode, int inOpSize, bool bDirection, int inOffset) { int inRet = 0; try { if ((0 == inStartAddr) \|\| (inSize <= 0) \|\| (NULL == pOpCode) \|\| (NULL == inOpSize)) { return inRet; } int inFindCount = 0; byte* pData = (byte)inStartAddr; for (int i = 0; i < inSize; i++, pData++) { const byte pOpData = pOpCode; for (int j = 0; j < inOpSize; j++, pOpData++) { while (0xFF == pOpData) { inFindCount++; i++; pData++; j++; pOpData++; } if (pData == pOpData) { inFindCount++; i++; pData++; } else { inFindCount = 0; break; } } if (inFindCount == inOpSize) { break; } } if (inFindCount == inOpSize) { inRet = (int)pData - inFindCount; if (bDirection) { inRet = inRet + inOffset; } else { inRet = inRet - inOffset; } } } catch (...) { inRet = 0; } return inRet; } char chOpCode[] = "\x6A\x04\x8D\x86\x5C\x01\xFF\xFF\x50\x6A\x04\x68"; dwRet = SearchAddress(dwModuleBase, dwModuleSize, (const byte)chOpCode, ::strlen(chOpCode), true, 0x13); 2019-4-11 16:07 0
StriveXjun 雪币： 1036 活跃值： (1306) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 3 楼 https://github.com/mrexodia/TitanHide/blob/master/TitanHide/ssdt.cpp 一直用的这个SSDT的找法，到目前最新的win10 1809系统也没发现什么问题 2019-4-11 20:40 1
游乐娃子雪币： 7498 活跃值： (5327) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 4 楼 yimingqpa 你这个内存搜索不能带通配符, 给你一个带通配的。 int CSearchMem::SearchAddress(int inStartAddr,  ... 通配符有个很尴尬的问题,万一通配符就是特征呢? 2019-4-12 19:03 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 5 楼 lononan 通配符有个很尴尬的问题,万一通配符就是特征呢? 不影响啊. 2019-4-12 21:55 0
黑洛雪币： 6124 活跃值： (4631) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 6 楼 https://github.com/mrexodia/TitanHide/blob/master/TitanHide/ssdt.cpp +10086 2019-5-19 14:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yimingqpa

雪币： 6524

活跃值： (4316)

能力值：

( LV10，RANK：163 )

在线值：

发帖

35

回帖

499

粉丝

51

关注

私信

yimingqpa 1: 2 楼

你这个内存搜索不能带通配符, 给你一个带通配的。

int CSearchMem::SearchAddress(int inStartAddr, int inSize, const byte* pOpCode, int inOpSize, bool bDirection, int inOffset)
{
	int inRet = 0;

	try
	{
		if ((0 == inStartAddr) || (inSize <= 0) || (NULL == pOpCode) || (NULL == inOpSize))
		{
			return inRet;
		}

		int inFindCount = 0;
		byte* pData = (byte*)inStartAddr;

		for (int i = 0; i < inSize; i++, pData++)
		{
			const byte* pOpData = pOpCode;

			for (int j = 0; j < inOpSize; j++, pOpData++)
			{
				while (0xFF == *pOpData)
				{
					inFindCount++;

					i++;
					pData++;

					j++;
					pOpData++;
				}

				if (*pData == *pOpData)
				{
					inFindCount++;

					i++;
					pData++;
				}
				else
				{
					inFindCount = 0;
					break;
				}
			}

			if (inFindCount == inOpSize)
			{
				break;
			}
		}

		if (inFindCount == inOpSize)
		{
			inRet = (int)pData - inFindCount;

			if (bDirection)
			{
				inRet = inRet + inOffset;
			}
			else
			{
				inRet = inRet - inOffset;
			}
		}
	}
	catch (...)
	{
		inRet = 0;
	}

	return inRet;
}



char chOpCode[] = "\x6A\x04\x8D\x86\x5C\x01\xFF\xFF\x50\x6A\x04\x68";

dwRet = SearchAddress(dwModuleBase, dwModuleSize, (const byte*)chOpCode, ::strlen(chOpCode), true, 0x13);

2019-4-11 16:07

0