-
-
[求助]内存中搜索PsSuspendThread问题
-
发表于: 2020-9-27 20:34
-
该如何指定查找的其实地址和结束地址合适一点呢。
ULONG_PTR SePsSuspendThread(ULONG_PTR start,ULONG_PTR end)
{
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | for (ULONG_PTR i = start; i < end; i++){ _try{ if (*(PUCHAR)i == 0x48 && *((PUCHAR)i + 0x15) == 0x4c && *((PUCHAR)i + 0x6c) == 0xe8 && *((PUCHAR)i + 0x6d) == 0xcb && *((PUCHAR)i + 0xac) == 0xf) { return i; } } _except(EXCEPTION_EXECUTE_HANDLER) { continue; }}return 0; |
}
这个地址是我看本机函数差不多的地址开始搜的,在别人机器上蓝屏 系统是WIN764的
SePsSuspendThread(0xfffff800040c0000, 0xfffff800040f0000)
我放弃了上面特征码搜索的办法,发现PsSuspendProcess里面调用了PsSuspendThread.而PsSuspendProcess申明一下就可以直接使用。那我就想到从PsSuspendProcess入手。
c110是我自己模块中打印的函数地址跳转到了d018 这跟真正的函数地址6220有什么关系呢??
最后于 2020-9-27 22:03
被麻木的时间编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
NtSuspendThread |
|
|
|
