[求助]通过ssdt索引调用ZwSuspendProcess失败,求助大佬-求助问答-看雪-安全社区|安全招聘|kanxue.com

何弃疗

2019-9-23 22:47

2935

// win10 1903 64位系统。32位的程序想通过ssdt索引调用 ZwSuspendProcess

// eax返回 C0000008,请问问题出在哪里? 谢谢

__asm {

mov eax, val // 进程句柄

push eax;

call _lable_SuspendProcess

jmp _lable_exit;

_lable_SuspendProcess:

mov eax, 0x301b5; // ssdt索引

call _lable_Wow64Transition;

retn 4

_lable_Wow64Transition:

call dword ptr fs : [000000C0h]

retn

_lable_exit:

}

收藏・0

免费・0

支持

最新回复 (2)
还洋洋雪币： 38 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	还洋洋 2 楼 *pPrevMode = KernelMode; 2020-7-11 23:10 0
hhkqqs 雪币： 11974 活跃值： (5554) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 40 关注私信	hhkqqs 1 3 楼 #define STATUS_INVALID_HANDLE 0xC0000008L Wow64Transition要求第一个参数位于esp+8处，你放个地址进去干什么 2020-7-12 00:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复