首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]是怎么知道这个ID是0x7A的呀???
发表于: 2008-8-4 10:29 5303

[求助]是怎么知道这个ID是0x7A的呀???

菜中菜 活跃值
2008-8-4 10:29
5303
ring3调用OpenProcess时,进入sysenter的ID是0x7A(XP SP2),
是怎么知道这个ID是0x7A的呀???

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
Winker
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
2
把ntdll.dll丢IDA里就看到了。
2008-8-4 12:30
0
lOOp
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
在冰刃里面查NtOpenProcess就知道了
2008-8-4 13:54
0
菜中菜
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
为什么我找不到有movfile呢
2008-8-4 17:21
0
炉子
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
5
首先你应当知道  OpenProcess是调用NtOpenProcess的
然后你可以反汇编一下NtOpenProcess

btw: 看到0x7A我就条件反射似的想到了NtOpenProcess - -#
2008-8-4 17:49
0
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
6
看到LS我就条件反射想到了菊花- -#
2008-8-4 18:59
0
nevergone
雪    币: 63
活跃值: (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
7
_ZwOpenProcess@16 proc near
mov     eax, 7Ah        ; NtOpenProcess
mov     edx, 7FFE0300h
call    dword ptr [edx]
retn    10h
_ZwOpenProcess@16 endp

7A, 看到吗?
2008-8-4 20:18
0
Bughoho
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
私信
8
http://www.metasploit.com/users/opcode/syscalls.html
2008-8-4 20:30
0
炉子
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
9
我跟菊花有什么关系呢 - -#

又不是我挂了 - -#
2008-8-4 20:48
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//