[求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[未解决，已结帖] [求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？ 100.00雪花

发表于: 2021-6-24 12:03 3988

[未解决，已结帖] [求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？ 100.00雪花

大鲤鱼

2021-6-24 12:03

3988

static void init_win10()
{
    name = 0x450;
    pid = 0x2E0;
    base = 0x3C0;
    link = 0x2E8;
    protection = 0x6B2;
    flags2 = 0x300;
    objecttable = 0x418;
    vadroot = 0x610;
 
    RTL_OSVERSIONINFOW osVersion;
    RtlGetVersion(&osVersion);
    if (osVersion.dwBuildNumber == 10586)
    {
        protection = 0x6B2;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x610;
    }
    else if (osVersion.dwBuildNumber == 14393)
    {
        protection = 0x6C2;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x620;
    }
    else if (osVersion.dwBuildNumber == 15063)
    {
        protection = 0x6CA;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 16299)
    {
        protection = 0x6CA;
        flags2 = 0x828;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 17134)
    {
        protection = 0x6CA;
        flags2 = 0x828;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 17763)
    {
        protection = 0x6CA;
        flags2 = 0x820;
        objecttable = 0x418;
        vadroot = 0x628;
    }
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・1

支持

最新回复 (10)
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 2 楼 static void init_win7() { name = 0x2D8; pid = 0x180; base = 0x270; link = 0x188; protection = 0x43C; flags2 = 0; objecttable = 0x200; vadroot = 0x448; } 源代码太长了，是关于进程保护的。驱动我只会输出helloworld，所以求助大家了！ 2021-6-24 13:07 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 3 楼找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了上传的附件： ntoskrnl.exe1809.h （2.64MB，2次下载） win10 19041.h （2.78MB，2次下载） 2021-6-24 13:50 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 4 楼 ookkaa 找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了找不到…… 2021-6-24 14:40 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 2021-6-24 14:53 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 6 楼大鲤鱼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到我不是发你了两个文件，直接记事本打开CTRL+F 2021-6-24 16:02 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 7 楼大鲤鱼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 2021-6-24 16:03 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 ookkaa /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 19041的，我刚才装了下虚拟机，测试生效了。但是你的另一份：1809对应的17736，源代码里面已经有了哈。缺少1903 1909 20H2 21H1，这几个你有吗？ 2021-6-24 16:19 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 9 楼没有，你自己都下一遍虚拟机，要么github搜一下 2021-6-24 18:34 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 ookkaa 没有，你自己都下一遍虚拟机，要么github搜一下网速好慢啊……装个虚拟机老半天。网上应该有人总结这个才好…… 2021-6-24 18:57 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 11 楼我已经自己安装虚拟机，把剩下的4个版本代码都找出来了。 2021-6-24 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大鲤鱼

发帖

125

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 2 楼 static void init_win7() { name = 0x2D8; pid = 0x180; base = 0x270; link = 0x188; protection = 0x43C; flags2 = 0; objecttable = 0x200; vadroot = 0x448; } 源代码太长了，是关于进程保护的。驱动我只会输出helloworld，所以求助大家了！ 2021-6-24 13:07 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 3 楼找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了上传的附件： ntoskrnl.exe1809.h （2.64MB，2次下载） win10 19041.h （2.78MB，2次下载） 2021-6-24 13:50 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 4 楼 ookkaa 找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了找不到…… 2021-6-24 14:40 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 2021-6-24 14:53 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 6 楼大鲤鱼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到我不是发你了两个文件，直接记事本打开CTRL+F 2021-6-24 16:02 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 7 楼大鲤鱼 http://blog.sina.com.cn/s/blog_6e4643130101c22s.html 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 2021-6-24 16:03 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 ookkaa /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 19041的，我刚才装了下虚拟机，测试生效了。但是你的另一份：1809对应的17736，源代码里面已经有了哈。缺少1903 1909 20H2 21H1，这几个你有吗？ 2021-6-24 16:19 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 9 楼没有，你自己都下一遍虚拟机，要么github搜一下 2021-6-24 18:34 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 ookkaa 没有，你自己都下一遍虚拟机，要么github搜一下网速好慢啊……装个虚拟机老半天。网上应该有人总结这个才好…… 2021-6-24 18:57 0
大鲤鱼雪币： 6300 活跃值： (3832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 11 楼我已经自己安装虚拟机，把剩下的4个版本代码都找出来了。 2021-6-24 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复