能力值:
( LV2,RANK:10 )
|
-
-
51 楼
不错的思路,
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
强强!!!!!!!!!!
|
能力值:
( LV6,RANK:90 )
|
-
-
53 楼
终于发现了这种方法,感动啊,多谢楼主的奉献精神。
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
APC安全,防范起来也不太容易
一个思路是挂上KeInsertQueueApc,如果APC是针对被保护进程的,除了调用者是某几个固定地址的放行外,其他都过滤掉。或者检查APC routine的地址,进行过滤。但是这些检测都可以伪装,而且过滤得不好的话,程序就不能正常运行了
|
能力值:
( LV2,RANK:10 )
|
-
-
55 楼
有些情况会蓝屏,主要是Ethread中一些东西没换。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
很好的思路!完善些就更好了!
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
好东西,值得学习
|
能力值:
( LV6,RANK:90 )
|
-
-
58 楼
我也来加一个
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
很不错 回头实践一次看看
|
能力值:
( LV6,RANK:90 )
|
-
-
60 楼
内核驱动要学习啊
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
都ring0了,等于白说。
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
xuexi! good!
thank you
|
能力值:
( LV2,RANK:10 )
|
-
-
63 楼
不错,,强大,,
拷贝函数要参照CR3里的值。这下对于内核进程地址空间的切换理解得更深刻了。
|
能力值:
( LV2,RANK:10 )
|
-
-
64 楼
很经典的方法 受教了
|
能力值:
( LV4,RANK:50 )
|
-
-
65 楼
难道是必胜客?
好多版主在哇。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
66 楼
佩服至极。嘿嘿,顶了!
|
能力值:
( LV2,RANK:10 )
|
-
-
67 楼
不懂。 膜拜。飘过。
|
|
|