发个驱动样本，那位有时间帮忙逆向一下：）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 2007-2-5 10:00 2 楼 0 找西裤他们是专门做这个的
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-2-6 09:09 3 楼 0 西裤兄弟可能不感兴趣，看来只有找牛仔裤兄弟了
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-2-6 20:15 4 楼 0 这个驱动会生成winlib .dll（注意有个空格哦），再通过apc注入到winlogon.exe里面，那个dll就不细看了 idb可耻的删了 btw:是0xEE做异或而不是0xFF
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-3-7 09:35 5 楼 0 今天翻老帖才发现gwJiang兄弟干了好事对了，gwJiang兄有啥联系方式，有时间交流啊我的mail:linestyle@163.com
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 11:17 6 楼 0 呵呵，我们已经在驱网单方面交流过了，不过当初你没甩我 binjo.cn(#)gmail.com
我最老实雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	我最老实 2007-3-7 13:11 7 楼 0 学习一下gwJiang的removeflower.idb 想问个小问题：看不出来 LoadDllApc 是怎麽让系统调用的？
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 13:28 8 楼 0 LoadDllApc的函数尾部是不对的，不过不影响看那个idb里错误不少，我把MmMapLockedPagesSpecifyCache的返回值错误的认为是NTSTATUS了，其实是映射的起始地址，LoadDllApc最终还是queued apc调用的。
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-3-7 16:42 9 楼 0 最初由 gwJiang* 发布* 呵呵，我们已经在驱网单方面交流过了，不过当初你没甩我 binjo.cn(#)gmail.com 你啥时候交流过我啊？用啥交流的，真窦娥？
我最老实雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	我最老实 2007-3-7 16:51 10 楼 0 最初由 gwJiang* 发布* LoadDllApc的函数尾部是不对的，不过不影响看那个idb里错误不少，我把MmMapLockedPagesSpecifyCache的返回值错误的认为是NTSTATUS了，其实是映射的起始地址，LoadDllApc最终还是queued apc调用的。感谢gwJiang解答原来如此！偶 google 两篇文章 http://www.cmkrnl.com/arc-userapc.html http://www.ddj.com/184416590 也没注意到 KeInitializeApc() 的 prototype .idb 键结没了？让大家学习学习怎麽可耻?
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 17:49 11 楼 0 最初由 linestyle* 发布* 你啥时候交流过我啊？用啥交流的，真窦娥？可能窦娥了吧最初由我最老实* 发布* .idb 键结没了？让大家学习学习怎麽可耻? 又看一遍，发现错误多多，误导别人就不好了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 2007-2-5 10:00 2 楼 0 找西裤他们是专门做这个的
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-2-6 09:09 3 楼 0 西裤兄弟可能不感兴趣，看来只有找牛仔裤兄弟了
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-2-6 20:15 4 楼 0 这个驱动会生成winlib .dll（注意有个空格哦），再通过apc注入到winlogon.exe里面，那个dll就不细看了 idb可耻的删了 btw:是0xEE做异或而不是0xFF
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-3-7 09:35 5 楼 0 今天翻老帖才发现gwJiang兄弟干了好事对了，gwJiang兄有啥联系方式，有时间交流啊我的mail:linestyle@163.com
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 11:17 6 楼 0 呵呵，我们已经在驱网单方面交流过了，不过当初你没甩我 binjo.cn(#)gmail.com
我最老实雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	我最老实 2007-3-7 13:11 7 楼 0 学习一下gwJiang的removeflower.idb 想问个小问题：看不出来 LoadDllApc 是怎麽让系统调用的？
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 13:28 8 楼 0 LoadDllApc的函数尾部是不对的，不过不影响看那个idb里错误不少，我把MmMapLockedPagesSpecifyCache的返回值错误的认为是NTSTATUS了，其实是映射的起始地址，LoadDllApc最终还是queued apc调用的。
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-3-7 16:42 9 楼 0 最初由 gwJiang* 发布* 呵呵，我们已经在驱网单方面交流过了，不过当初你没甩我 binjo.cn(#)gmail.com 你啥时候交流过我啊？用啥交流的，真窦娥？
我最老实雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	我最老实 2007-3-7 16:51 10 楼 0 最初由 gwJiang* 发布* LoadDllApc的函数尾部是不对的，不过不影响看那个idb里错误不少，我把MmMapLockedPagesSpecifyCache的返回值错误的认为是NTSTATUS了，其实是映射的起始地址，LoadDllApc最终还是queued apc调用的。感谢gwJiang解答原来如此！偶 google 两篇文章 http://www.cmkrnl.com/arc-userapc.html http://www.ddj.com/184416590 也没注意到 KeInitializeApc() 的 prototype .idb 键结没了？让大家学习学习怎麽可耻?
gwJiang 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	gwJiang 2007-3-7 17:49 11 楼 0 最初由 linestyle* 发布* 你啥时候交流过我啊？用啥交流的，真窦娥？可能窦娥了吧最初由我最老实* 发布* .idb 键结没了？让大家学习学习怎麽可耻? 又看一遍，发现错误多多，误导别人就不好了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复