[求助]请高手看下这是个什么函数.非常奇怪-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 2 楼自己顶个先~~ 用这样的方式建立新线程还是我第一见到,哎~ 小第才疏学浅搞不明白~~只有靠看血的高手们了. 2007-9-10 15:23 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 3 楼在线等...........顶 2007-9-10 15:49 0
DamnYa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 1 关注私信	DamnYa 4 楼没看明白你要干啥 2007-9-10 15:59 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 5 楼想知道这个函数的作用啊.我简单看了下这个是个系统回调函数 2007-9-10 16:02 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 6 楼 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 77D191BE C2 1000 RETN 10 bp GetMessageW 然后会从这进去后会断在 7C810856 . 33ED XOR EBP,EBP 7C810858 . 53 PUSH EBX 7C810859 . 50 PUSH EAX 7C81085A . 6A 00 PUSH 0 7C81085C .^ E9 73ACFFFF JMP kernel32.7C80B4D4 这个函数是做什么的哦 2007-9-10 16:05 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼包括oep都是从这里开始的吧 2007-9-10 16:07 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 8 楼让我挺郁闷的是这个 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 索引号居然为11A5.越来越糊涂了.sdt里不可能有那么多函数.我用softice看了也没有11a5这个索引指向的函数啊 2007-9-10 16:14 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼在CreateRemoteThread里下断点看进去不？ 2007-9-10 16:17 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 10 楼矣~~ 真的诶~~ 果然是那里最后调用到ZwResumeThread 返回到那去的.然后初始化并执行线程的函数.那为什么GetMessageW里面的索引 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 那么大呢? 我dd KeServiceDescriptorTable+11a54 没看到什么函数指针啊.感觉好糊涂 2007-9-10 16:33 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 11 楼天呀,救命啊~~~ 2007-9-10 16:33 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 12 楼新的问题诞生了用0x11a5去调用KiFastSystemCall 有什么意义? 反正SDT里没有这个函数.11a5根本不存在.最多只是个参数不能叫函数索引了.具体是干什么的呢 2007-9-10 16:42 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 13 楼我顶~~~~~~~~~ 2007-9-10 16:50 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 14 楼我顶~~~~~~~~~ 绝对不能沉 2007-9-10 17:15 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼 11A5,减1000->1A5,是win32k里的,不过我久不看这些了,希望没错 2007-9-10 20:17 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 16 楼为什么使用Win32K里面的函数需要增加1000呢 2007-9-11 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 2 楼自己顶个先~~ 用这样的方式建立新线程还是我第一见到,哎~ 小第才疏学浅搞不明白~~只有靠看血的高手们了. 2007-9-10 15:23 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 3 楼在线等...........顶 2007-9-10 15:49 0
DamnYa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 1 关注私信	DamnYa 4 楼没看明白你要干啥 2007-9-10 15:59 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 5 楼想知道这个函数的作用啊.我简单看了下这个是个系统回调函数 2007-9-10 16:02 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 6 楼 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 77D191BE C2 1000 RETN 10 bp GetMessageW 然后会从这进去后会断在 7C810856 . 33ED XOR EBP,EBP 7C810858 . 53 PUSH EBX 7C810859 . 50 PUSH EAX 7C81085A . 6A 00 PUSH 0 7C81085C .^ E9 73ACFFFF JMP kernel32.7C80B4D4 这个函数是做什么的哦 2007-9-10 16:05 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼包括oep都是从这里开始的吧 2007-9-10 16:07 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 8 楼让我挺郁闷的是这个 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 索引号居然为11A5.越来越糊涂了.sdt里不可能有那么多函数.我用softice看了也没有11a5这个索引指向的函数啊 2007-9-10 16:14 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼在CreateRemoteThread里下断点看进去不？ 2007-9-10 16:17 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 10 楼矣~~ 真的诶~~ 果然是那里最后调用到ZwResumeThread 返回到那去的.然后初始化并执行线程的函数.那为什么GetMessageW里面的索引 77D191B2 B8 A5110000 MOV EAX,11A5 77D191B7 BA 0003FE7F MOV EDX,7FFE0300 77D191BC FF12 CALL DWORD PTR DS:[EDX] 那么大呢? 我dd KeServiceDescriptorTable+11a54 没看到什么函数指针啊.感觉好糊涂 2007-9-10 16:33 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 11 楼天呀,救命啊~~~ 2007-9-10 16:33 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 12 楼新的问题诞生了用0x11a5去调用KiFastSystemCall 有什么意义? 反正SDT里没有这个函数.11a5根本不存在.最多只是个参数不能叫函数索引了.具体是干什么的呢 2007-9-10 16:42 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 13 楼我顶~~~~~~~~~ 2007-9-10 16:50 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 14 楼我顶~~~~~~~~~ 绝对不能沉 2007-9-10 17:15 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼 11A5,减1000->1A5,是win32k里的,不过我久不看这些了,希望没错 2007-9-10 20:17 0
Hitman 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 92 粉丝 0 关注私信	Hitman 16 楼为什么使用Win32K里面的函数需要增加1000呢 2007-9-11 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复