[求助]这个R3程序是怎么进入R0的？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 2 楼这个是正常程序的栈帧最后于 2019-5-11 05:57 被我家没雪编辑，原因： 2019-5-11 05:57 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼不是写了NtReplyPort吗 2019-5-11 08:24 0
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 4 楼 hzqst 不是写了NtReplyPort吗谢谢。。2楼是正常的，从RING3 DLL开始到内核。1楼的图片里直接就到KeSynchronizeExec 然后NtOpenProcess了。。 2019-5-11 08:49 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼你就不能做个大胆的假设看你hook fs[C0]，说明这是个wow64程序那就存在一种可能，手动切CS进入x64模式汇编syscall 进入内核。然后再切cs 回到win32模式其实说白了就是wow64ext 这种操作。 2019-5-11 10:00 0
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 7 楼万剑归宗你就不能做个大胆的假设看你hook fs[C0]，说明这是个wow64程序那就存在一种可能，手动切CS进入x64模式汇编syscall 进入内核。然后再切cs 回到win32模式其实说 ... 我去了解一下。谢谢 2019-5-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 2 楼这个是正常程序的栈帧最后于 2019-5-11 05:57 被我家没雪编辑，原因： 2019-5-11 05:57 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼不是写了NtReplyPort吗 2019-5-11 08:24 0
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 4 楼 hzqst 不是写了NtReplyPort吗谢谢。。2楼是正常的，从RING3 DLL开始到内核。1楼的图片里直接就到KeSynchronizeExec 然后NtOpenProcess了。。 2019-5-11 08:49 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼你就不能做个大胆的假设看你hook fs[C0]，说明这是个wow64程序那就存在一种可能，手动切CS进入x64模式汇编syscall 进入内核。然后再切cs 回到win32模式其实说白了就是wow64ext 这种操作。 2019-5-11 10:00 0
我家没雪雪币： 180 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	我家没雪 7 楼万剑归宗你就不能做个大胆的假设看你hook fs[C0]，说明这是个wow64程序那就存在一种可能，手动切CS进入x64模式汇编syscall 进入内核。然后再切cs 回到win32模式其实说 ... 我去了解一下。谢谢 2019-5-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复