首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]PspCidTable杂谈
发表于: 2008-2-15 21:31 29349

[原创]PspCidTable杂谈

sudami 活跃值
25
2008-2-15 21:31
29349

今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰

要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:


1. 利用未导出的ExEnumHandleTable函数
2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (25)
petnt
雪    币: 485
活跃值: (12)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
私信
2
收藏,能看懂的时候再看
2008-2-15 21:39
0
zhtjia
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
好文....
2008-2-15 22:39
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
4
纠正下子:

ExEnumHandleTable函数已导出了
PspTerminateThreadByPointer在某些xp系统是2参数版不是3参数版。
2008-2-15 22:46
0
foxabu
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
5
顶 学习....

rootkit不是介绍过改页表 让CPU 只能够excute而不能够read/write 对于没有加壳得程序
把代码段这样子搞一下不知道可行不.  纯属乱弹。
2008-2-16 00:21
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
6
强悍啊.学习
2008-2-16 06:29
0
NWMonster
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
7
强,很强,学习中……………………
2008-2-16 09:30
0
海风日影
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
向苏大米学习
2008-2-16 10:43
0
htsf110
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
不错,帮你顶
2008-2-16 11:21
0
NetRoc
雪    币: 108
活跃值: (141)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
私信
10
ShadowWalker
2008-2-16 12:51
0
combojiang
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
私信
11
学习,icesword 列出隐藏进程也是用了这样的方法。
2008-2-17 00:01
0
wqrsksk
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
收藏,,,,刚学c++
2008-2-17 00:26
0
SkyJack
雪    币: 311
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
谢谢LZ,学习ing!
2008-2-17 22:40
0
robar
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
pfpf,对LZ的景仰犹如滔滔江水
2008-2-19 09:27
0
hchack
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
收下了,学习中。。。。。。
2008-2-19 09:29
0
machfe
雪    币: 212
活跃值: (31)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
标记了  能看的懂了再说啊啊
2008-12-8 21:14
0
twoseconds
雪    币: 112
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
好可怕,我啥时候能到你那地步啊。。。。
2008-12-31 00:26
0
icewife
雪    币: 201
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
话说
为什么pid <= 0x800就是在第一张表中呢
一张表中511项
pid < 0x800才是在第一张表中啊.
=0x800的时候就已经在第二张表了
dbg很明显

加上windows internals 引用若干
...
...
...

PS: windows xp sp3
2009-3-22 00:24
0
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
19
不知道是不是这样啊?
2009-5-16 14:21
0
eviliori
雪    币: 183
活跃值: (228)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
同意楼上的~
希望大牛给出点意见~
2009-6-12 16:29
0
王小攀
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
收藏,方便以后可以用
2009-7-30 00:03
0
王小攀
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
收藏,方便以后可以用
2009-7-30 00:05
0
深一海
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
学习了......
2011-1-7 14:31
0
tyson
雪    币: 2
活跃值: (256)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
谢谢了,正认真研究中....
2011-11-8 16:32
0
Hoiker
雪    币: 564
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
强大, hoho、
2012-12-17 17:07
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//