[原创]另一种读写进程内存空间的方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (66) ◀ 1 2 3
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 51 楼不错的思路， 2009-5-5 14:13 0
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	htsf110 52 楼强强!!!!!!!!!! 2009-5-5 14:38 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 53 楼终于发现了这种方法，感动啊，多谢楼主的奉献精神。 2009-5-10 16:32 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 54 楼 APC安全，防范起来也不太容易一个思路是挂上KeInsertQueueApc,如果APC是针对被保护进程的，除了调用者是某几个固定地址的放行外，其他都过滤掉。或者检查APC routine的地址，进行过滤。但是这些检测都可以伪装，而且过滤得不好的话，程序就不能正常运行了 2009-8-18 09:17 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 55 楼有些情况会蓝屏，主要是Ethread中一些东西没换。。。 2009-8-25 12:24 0
YFLK 雪币： 253 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 150 粉丝 0 关注私信	YFLK 56 楼很好的思路！完善些就更好了！ 2009-8-26 08:05 0
xxxtangwen 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xxxtangwen 57 楼好东西，值得学习 2009-8-27 13:32 0
foresee 雪币： 222 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 153 粉丝 0 关注私信	foresee 2 58 楼我也来加一个 2009-8-28 00:27 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 59 楼很不错回头实践一次看看 2009-8-28 15:31 0
sungy 雪币： 346 活跃值： (1963) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 60 楼内核驱动要学习啊 2009-8-28 15:45 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 61 楼都ring0了，等于白说。 2009-10-11 07:53 0
SIP 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	SIP 62 楼 xuexi! good! thank you 2010-4-10 04:10 0
guxinyizb 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	guxinyizb 63 楼不错，，强大，，拷贝函数要参照CR3里的值。这下对于内核进程地址空间的切换理解得更深刻了。 2010-5-20 10:30 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 64 楼很经典的方法受教了 2010-5-20 10:37 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 65 楼难道是必胜客？好多版主在哇。。。 2010-10-27 14:48 0
qqqqqzyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	qqqqqzyy 66 楼佩服至极。嘿嘿，顶了！ 2010-10-27 15:53 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 67 楼不懂。膜拜。飘过。 2010-10-28 00:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (66) ◀ 1 2 3
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 51 楼不错的思路， 2009-5-5 14:13 0
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	htsf110 52 楼强强!!!!!!!!!! 2009-5-5 14:38 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 53 楼终于发现了这种方法，感动啊，多谢楼主的奉献精神。 2009-5-10 16:32 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 54 楼 APC安全，防范起来也不太容易一个思路是挂上KeInsertQueueApc,如果APC是针对被保护进程的，除了调用者是某几个固定地址的放行外，其他都过滤掉。或者检查APC routine的地址，进行过滤。但是这些检测都可以伪装，而且过滤得不好的话，程序就不能正常运行了 2009-8-18 09:17 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 55 楼有些情况会蓝屏，主要是Ethread中一些东西没换。。。 2009-8-25 12:24 0
YFLK 雪币： 253 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 150 粉丝 0 关注私信	YFLK 56 楼很好的思路！完善些就更好了！ 2009-8-26 08:05 0
xxxtangwen 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xxxtangwen 57 楼好东西，值得学习 2009-8-27 13:32 0
foresee 雪币： 222 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 153 粉丝 0 关注私信	foresee 2 58 楼我也来加一个 2009-8-28 00:27 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 59 楼很不错回头实践一次看看 2009-8-28 15:31 0
sungy 雪币： 346 活跃值： (1963) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 60 楼内核驱动要学习啊 2009-8-28 15:45 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 61 楼都ring0了，等于白说。 2009-10-11 07:53 0
SIP 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 54 粉丝 0 关注私信	SIP 62 楼 xuexi! good! thank you 2010-4-10 04:10 0
guxinyizb 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	guxinyizb 63 楼不错，，强大，，拷贝函数要参照CR3里的值。这下对于内核进程地址空间的切换理解得更深刻了。 2010-5-20 10:30 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 64 楼很经典的方法受教了 2010-5-20 10:37 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 65 楼难道是必胜客？好多版主在哇。。。 2010-10-27 14:48 0
qqqqqzyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	qqqqqzyy 66 楼佩服至极。嘿嘿，顶了！ 2010-10-27 15:53 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 67 楼不懂。膜拜。飘过。 2010-10-28 00:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复