[求助]为什么这段代码调用native api出错？[已解决]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2 楼长度不对吧？LENGTH应该是CHAR数而不是BYTE数 2007-3-12 17:24 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 3 楼难道这就是..... 保密先.... 2007-3-12 17:28 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼 PopKart Client 2007-3-12 18:14 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼我这边没问题.你这么调用native api前提还是要先patch 驱动吧? 2007-3-12 18:30 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼问题是没有push返回地址。我只是拿跑跑试验一下。不是驱动原因。我是看看np隐藏了进程，能不能用这个办法找回来 2007-3-12 20:19 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼我得意思是:你这样搞好像也搞不出来得.因为驱动的原因,大概这样也找不回来吧 2007-3-12 22:36 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼 PopKart 不懂，飘过~~~~~~~~~ 2007-3-12 23:10 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 9 楼最初由 Isaiah* 发布* 问题是没有push返回地址。我只是拿跑跑试验一下。不是驱动原因。我是看看np隐藏了进程，能不能用这个办法找回来写个testapp跟一下，看堆栈 2007-3-12 23:37 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼注意，在搞掉驱动的情况测试的。目的只是试验使用win32.sys的native api.不是NP. NP并没有阻止FindWindow.虽然有HOOK 下面的代码就正常了。 #include<windows.h> typedef struct _MYUNICODE_STRING { USHORT Length; USHORT MaxLength; LPWSTR String; } MYUNICODE_STRING; WCHAR Name[]=L"PopKart Client"; MYUNICODE_STRING WindowName,ClassName; int main(int argc, CHAR* argv[]) { HWND hClient; DWORD PID=0; hClient=FindWindowExW(NULL,NULL,Name,Name); printf("\n%08x",hClient); WindowName.Length=0x1c; WindowName.MaxLength=0x1e; WindowName.String=Name; ClassName.Length=0x1c; ClassName.MaxLength=0x1e; ClassName.String=Name; __asm { pushad pushfd push 0 push offset WindowName push offset ClassName push 0 push 0 push RetAddr mov eax, 117Ah mov edx, 7FFE0300h call dword ptr [edx] retn 14h RetAddr: mov PID,eax popfd popad } printf("\n%08x",PID); return 0; } 2007-3-13 09:37 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 11 楼是不是驱动里边把啥玩意hook了？可以在驱动找找看看是不是有PopKart Client或者校验值 2007-3-13 09:56 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 12 楼另外一个问题,7FFE0300h是固定得吗?我这里好像也是这个地址.不知道这样好还是只见诶用int来做兼容性更好些 2007-3-13 11:56 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 13 楼最初由 aki* 发布* 另外一个问题,7FFE0300h是固定得吗?我这里好像也是这个地址.不知道这样好还是只见诶用int来做兼容性更好些 xp和2k有区别的 2007-3-13 11:56 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 14 楼你得意思是这段代码在xp系统通用还是说服务id有区别? 2007-3-13 12:26 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 15 楼恩，就是那个意思 2007-3-13 14:15 0
qreeq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	qreeq 16 楼问题解决了吗? 2007-3-18 12:00 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 17 楼解决了，我改了标题的啊？ 2007-3-19 03:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2 楼长度不对吧？LENGTH应该是CHAR数而不是BYTE数 2007-3-12 17:24 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 3 楼难道这就是..... 保密先.... 2007-3-12 17:28 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼 PopKart Client 2007-3-12 18:14 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 5 楼我这边没问题.你这么调用native api前提还是要先patch 驱动吧? 2007-3-12 18:30 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼问题是没有push返回地址。我只是拿跑跑试验一下。不是驱动原因。我是看看np隐藏了进程，能不能用这个办法找回来 2007-3-12 20:19 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼我得意思是:你这样搞好像也搞不出来得.因为驱动的原因,大概这样也找不回来吧 2007-3-12 22:36 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼 PopKart 不懂，飘过~~~~~~~~~ 2007-3-12 23:10 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 9 楼最初由 Isaiah* 发布* 问题是没有push返回地址。我只是拿跑跑试验一下。不是驱动原因。我是看看np隐藏了进程，能不能用这个办法找回来写个testapp跟一下，看堆栈 2007-3-12 23:37 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼注意，在搞掉驱动的情况测试的。目的只是试验使用win32.sys的native api.不是NP. NP并没有阻止FindWindow.虽然有HOOK 下面的代码就正常了。 #include<windows.h> typedef struct _MYUNICODE_STRING { USHORT Length; USHORT MaxLength; LPWSTR String; } MYUNICODE_STRING; WCHAR Name[]=L"PopKart Client"; MYUNICODE_STRING WindowName,ClassName; int main(int argc, CHAR* argv[]) { HWND hClient; DWORD PID=0; hClient=FindWindowExW(NULL,NULL,Name,Name); printf("\n%08x",hClient); WindowName.Length=0x1c; WindowName.MaxLength=0x1e; WindowName.String=Name; ClassName.Length=0x1c; ClassName.MaxLength=0x1e; ClassName.String=Name; __asm { pushad pushfd push 0 push offset WindowName push offset ClassName push 0 push 0 push RetAddr mov eax, 117Ah mov edx, 7FFE0300h call dword ptr [edx] retn 14h RetAddr: mov PID,eax popfd popad } printf("\n%08x",PID); return 0; } 2007-3-13 09:37 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 11 楼是不是驱动里边把啥玩意hook了？可以在驱动找找看看是不是有PopKart Client或者校验值 2007-3-13 09:56 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 12 楼另外一个问题,7FFE0300h是固定得吗?我这里好像也是这个地址.不知道这样好还是只见诶用int来做兼容性更好些 2007-3-13 11:56 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 13 楼最初由 aki* 发布* 另外一个问题,7FFE0300h是固定得吗?我这里好像也是这个地址.不知道这样好还是只见诶用int来做兼容性更好些 xp和2k有区别的 2007-3-13 11:56 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 14 楼你得意思是这段代码在xp系统通用还是说服务id有区别? 2007-3-13 12:26 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 15 楼恩，就是那个意思 2007-3-13 14:15 0
qreeq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	qreeq 16 楼问题解决了吗? 2007-3-18 12:00 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 17 楼解决了，我改了标题的啊？ 2007-3-19 03:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复