[求助]厚着脸皮问个基本的问题！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2 楼厚着脸皮回答一下,可以,灰常滴可以 2007-12-16 09:05 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 3 楼厚着脸皮又学一招 2007-12-16 09:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼已经导出的可以直接调用。用之前申明一下函数原形就可以了。未导出的就要先从ntoskrnl.exe中取出函数的地址，申明原型，再调用吧。 Nt* 和Zw还是有些区别的，在NTDLL。DLL中他们指向同一代码。但在ntoskrnl.exe中，NT还要先做一系列的的安全验证，然后再调用Zw。。。论坛里有一篇关于这个的文章吧。不晓得偶说的对不对 2007-12-16 10:02 0
smartqiu 雪币： 222 活跃值： (69) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 42 粉丝 1 关注私信	smartqiu 1 5 楼那是不是直接调用Zw*更为直接一点? 2007-12-27 20:05 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 6 楼厚着脸皮偷看一下 2007-12-27 20:32 0
chken 雪币： 8234 活跃值： (3938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	chken 7 楼经过鉴定，此贴为脸皮比试贴~ 厚着脸皮公证一下！ 2008-1-13 09:06 0
wangnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	wangnet 8 楼没有脸皮了，都丢地上去了。 2008-1-13 17:51 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼顶着城墙的脸皮来说一句->Zw*是从KiXXX中过了一圈然后调用NtXXX NtXXXX会检测PreviousMode 如果是UserMode就ProbeForXXX检测输入的指针（如果是指针的话（比如PCLIENT_ID））——因为ProbeForXXX只能检测UserMode的地址，如果是KernelMode总是失败，所以给很多人造成了NtXXX不能直接call的假象。。 QueueWorkItem或者PsCreateSystemThread吧。 2008-1-13 20:21 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼似乎说了N句。。。唉。。偶的脸皮太厚了。。明天用砂纸打磨下。 2008-1-13 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2 楼厚着脸皮回答一下,可以,灰常滴可以 2007-12-16 09:05 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 3 楼厚着脸皮又学一招 2007-12-16 09:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼已经导出的可以直接调用。用之前申明一下函数原形就可以了。未导出的就要先从ntoskrnl.exe中取出函数的地址，申明原型，再调用吧。 Nt* 和Zw还是有些区别的，在NTDLL。DLL中他们指向同一代码。但在ntoskrnl.exe中，NT还要先做一系列的的安全验证，然后再调用Zw。。。论坛里有一篇关于这个的文章吧。不晓得偶说的对不对 2007-12-16 10:02 0
smartqiu 雪币： 222 活跃值： (69) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 42 粉丝 1 关注私信	smartqiu 1 5 楼那是不是直接调用Zw*更为直接一点? 2007-12-27 20:05 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 6 楼厚着脸皮偷看一下 2007-12-27 20:32 0
chken 雪币： 8234 活跃值： (3938) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	chken 7 楼经过鉴定，此贴为脸皮比试贴~ 厚着脸皮公证一下！ 2008-1-13 09:06 0
wangnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	wangnet 8 楼没有脸皮了，都丢地上去了。 2008-1-13 17:51 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼顶着城墙的脸皮来说一句->Zw*是从KiXXX中过了一圈然后调用NtXXX NtXXXX会检测PreviousMode 如果是UserMode就ProbeForXXX检测输入的指针（如果是指针的话（比如PCLIENT_ID））——因为ProbeForXXX只能检测UserMode的地址，如果是KernelMode总是失败，所以给很多人造成了NtXXX不能直接call的假象。。 QueueWorkItem或者PsCreateSystemThread吧。 2008-1-13 20:21 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼似乎说了N句。。。唉。。偶的脸皮太厚了。。明天用砂纸打磨下。 2008-1-13 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复