[原创]替换SharedUserData-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]替换SharedUserData

发表于: 2007-1-18 14:01 20230

[原创]替换SharedUserData

xIkUg

2007-1-18 14:01

20230

版本:1.0

作者: xIkUg/RCT/CCG xikug.xp [at] gmail [dot] com

我常去的网站：
http://debugman.wintoolspro.com
http://www.fcgchina.com
http://bbs.pediy.com
http://www.unpack.cn

说明：为了不至于混淆视线，本文以Win2000专业版，非3G，非PAE系统为蓝本进行讲述。其他系统稍有不同，但不在本文的讲述范围。

SharedUserData 是操作系统为每个进程提供的个共享数据结构，里面存放有很多重要的系统信息，如TickCount、系统时间、SystemRoot等。。。

其在DDK定义为：

#define KI_USER_SHARED_DATA         0xffdf0000
#define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)

#define PTE_BASE    0xC0000000
#define PDE_BASE    0xC0300000

#define GetPteAddress(va) ((PMMPTE)(((((ULONG)(va)) >> 12) << 2) + PTE_BASE))
#define GetPdeAddress(va)  ((PMMPTE)(((((ULONG)(va)) >> 22) << 2) + PDE_BASE))

ProcessPTE->p = ExAllocatePool(NonPagedPool, PAGE_SIZE)

RtlCopyMemory(ProcessPTE->p, SharedUserData, sizeof(KUSER_SHARED_DATA));
pMySharedData = ProcessPTE->p;
RtlTimeToTimeFields((PLARGE_INTEGER)&pMySharedData->SystemTime, &TimeFields);
TimeFields.Year = 2007;
TimeFields.Month = 1;
TimeFields.Day = 1;
RtlTimeFieldsToTime(&TimeFields, (PLARGE_INTEGER)&pMySharedData->SystemTime);
pMySharedData->SystemTime.High2Time = pMySharedData->SystemTime.High1Time;

pSharedData = ProcessPTE->p;
RtlTimeToTimeFields((PLARGE_INTEGER)&SharedUserData->SystemTime, &TimeFields);
TimeFields.Year = 2007;
TimeFields.Month = 1;
TimeFields.Day = 1;
RtlTimeFieldsToTime(&TimeFields, (PLARGE_INTEGER)&pSharedData->SystemTime);
pSharedData->SystemTime.High2Time = pSharedData->SystemTime.High1Time;

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・31

免费・7

支持

最新回复 (21)
jazhi 雪币： 154 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	jazhi 2 楼虽然8懂但也得顶 2007-1-18 14:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼等你的“月光宝盒”工具 2007-1-18 14:15 0
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 4 楼顶.xikug强. 2007-1-18 14:16 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 5 楼传说中的停止时间，顶 2007-1-18 14:17 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼有困难，找西裤 2007-1-18 14:25 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 7 楼 ya me de 2007-1-18 14:28 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 8 楼问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 2007-1-18 14:46 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 9 楼深奥的看不懂 2007-1-18 15:18 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼完全不懂. 2007-1-18 15:31 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼感谢牛人解惑,西裤哥能否给份源码? 先收藏,等眼睛好了再学习,我竟然又不幸惹到了红眼病 2007-1-18 15:46 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 12 楼现在是实验代码，写得很丑，不好意思拿出来。。。很多地方都是硬编码。。。如果你要的话请联系我 2007-1-18 16:16 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 13 楼看了两眼就有点晕 2007-1-18 18:32 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 14 楼请发到softworm2003@hotmail.com 谢谢! 2007-1-18 19:25 0
metalqiang 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 0 关注私信	metalqiang 15 楼好深奥很难理解哦 2007-1-19 00:35 0
fexsilence 雪币： 201 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	fexsilence 16 楼感谢楼主，学习了。 2007-1-19 02:07 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 17 楼学习!!!!!!! 我也要一份 coolcute@gmail.com 2007-1-19 12:43 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 18 楼感谢xIkUg,我收到了 2007-1-19 15:11 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 19 楼顶... 2007-1-19 16:07 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 20 楼再顶.... 2007-1-19 21:28 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 21 楼最初由 kanxue* 发布* 问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 顶第八个 man 2007-1-20 13:05 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 22 楼最初由 kanxue* 发布* 问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 顶第八个 man 2007-1-20 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xIkUg

发帖

675

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
jazhi 雪币： 154 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	jazhi 2 楼虽然8懂但也得顶 2007-1-18 14:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼等你的“月光宝盒”工具 2007-1-18 14:15 0
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 4 楼顶.xikug强. 2007-1-18 14:16 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 5 楼传说中的停止时间，顶 2007-1-18 14:17 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼有困难，找西裤 2007-1-18 14:25 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 7 楼 ya me de 2007-1-18 14:28 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 8 楼问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 2007-1-18 14:46 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 9 楼深奥的看不懂 2007-1-18 15:18 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼完全不懂. 2007-1-18 15:31 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼感谢牛人解惑,西裤哥能否给份源码? 先收藏,等眼睛好了再学习,我竟然又不幸惹到了红眼病 2007-1-18 15:46 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 12 楼现在是实验代码，写得很丑，不好意思拿出来。。。很多地方都是硬编码。。。如果你要的话请联系我 2007-1-18 16:16 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 13 楼看了两眼就有点晕 2007-1-18 18:32 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 14 楼请发到softworm2003@hotmail.com 谢谢! 2007-1-18 19:25 0
metalqiang 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 0 关注私信	metalqiang 15 楼好深奥很难理解哦 2007-1-19 00:35 0
fexsilence 雪币： 201 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	fexsilence 16 楼感谢楼主，学习了。 2007-1-19 02:07 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 17 楼学习!!!!!!! 我也要一份 coolcute@gmail.com 2007-1-19 12:43 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 18 楼感谢xIkUg,我收到了 2007-1-19 15:11 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 19 楼顶... 2007-1-19 16:07 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 20 楼再顶.... 2007-1-19 21:28 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 21 楼最初由 kanxue* 发布* 问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 顶第八个 man 2007-1-20 13:05 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 22 楼最初由 kanxue* 发布* 问：xIkUg怎么这以强？答：因为xIkUg是传说中的第八个man 顶第八个 man 2007-1-20 13:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复