[求助][求助]一段ring0代码实在不理解-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 2 楼比较 if（ (KeTickCount+8) ！= (KeTickCount+4) ）具体干啥不知道 2008-10-19 18:14 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 3 楼楼上，你说的我都标出来了，…… 2008-10-19 19:17 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 4 楼比较KeTickCount()函数中的字节码? 2008-10-19 22:32 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 5 楼 typedef struct _KSYSTEM_TIME { ULONG LowPart; LONG High1Time; LONG High2Time; } KSYSTEM_TIME, *PKSYSTEM_TIME; KSYSTEM_TIME KeTickCount; 2008-10-20 10:35 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 6 楼你遇到的应该是这个宏： #define KeQueryTickCount(CurrentCount ) { \ volatile PKSYSTEM_TIME _TickCount = ((PKSYSTEM_TIME )(&KeTickCount)); \ while (TRUE) { \ (CurrentCount)->HighPart = _TickCount->High1Time; \ (CurrentCount)->LowPart = _TickCount->LowPart; \ if ((CurrentCount)->HighPart == _TickCount->High2Time) break; \ _asm { rep nop } \ } \ } 2008-10-20 10:42 0
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 7 楼 QIQI好猛.. 这也能知道 2008-10-20 13:38 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 8 楼非常感谢，应该就说你说的这个宏查了一下，结果如下这个函数的原型如下： VOID KeQueryTickCount( OUT PLARGE_INTEGER TickCount ); 返回到TickCount中的并不是一个简单的毫秒数。这是一个“滴答”数。但是一个“滴答”到底为多长的时间，在不同的硬件环境下可能有所不同。为此，必须结合另一个函数使用。下面这个函数获得一个“滴答”的具体的100纳秒数。 ULONG KeQueryTimeIncrement( ); 得知以上的关系之后，下面的代码可以求得实际的毫秒数： void MyGetTickCount (PULONG msec) { LARGE_INTEGER tick_count; ULONG myinc = KeQueryTimeIncrement(); KeQueryTickCount(&tick_count); tick_count.QuadPart = myinc; tick_count.QuadPart /= 10000; msec = tick_count.LowPart; } 2008-10-20 13:48 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 9 楼强帖留名嘿嘿 2008-10-21 09:08 0
cnben 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 0 关注私信	cnben 10 楼学习中，汇编中最头疼的就是看懂了汇编，去不知道意思 2008-10-22 11:56 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 11 楼是如何知道这个是ring0代码的？ 2008-10-24 11:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 2 楼比较 if（ (KeTickCount+8) ！= (KeTickCount+4) ）具体干啥不知道 2008-10-19 18:14 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 3 楼楼上，你说的我都标出来了，…… 2008-10-19 19:17 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 4 楼比较KeTickCount()函数中的字节码? 2008-10-19 22:32 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 5 楼 typedef struct _KSYSTEM_TIME { ULONG LowPart; LONG High1Time; LONG High2Time; } KSYSTEM_TIME, *PKSYSTEM_TIME; KSYSTEM_TIME KeTickCount; 2008-10-20 10:35 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 6 楼你遇到的应该是这个宏： #define KeQueryTickCount(CurrentCount ) { \ volatile PKSYSTEM_TIME _TickCount = ((PKSYSTEM_TIME )(&KeTickCount)); \ while (TRUE) { \ (CurrentCount)->HighPart = _TickCount->High1Time; \ (CurrentCount)->LowPart = _TickCount->LowPart; \ if ((CurrentCount)->HighPart == _TickCount->High2Time) break; \ _asm { rep nop } \ } \ } 2008-10-20 10:42 0
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 7 楼 QIQI好猛.. 这也能知道 2008-10-20 13:38 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 8 楼非常感谢，应该就说你说的这个宏查了一下，结果如下这个函数的原型如下： VOID KeQueryTickCount( OUT PLARGE_INTEGER TickCount ); 返回到TickCount中的并不是一个简单的毫秒数。这是一个“滴答”数。但是一个“滴答”到底为多长的时间，在不同的硬件环境下可能有所不同。为此，必须结合另一个函数使用。下面这个函数获得一个“滴答”的具体的100纳秒数。 ULONG KeQueryTimeIncrement( ); 得知以上的关系之后，下面的代码可以求得实际的毫秒数： void MyGetTickCount (PULONG msec) { LARGE_INTEGER tick_count; ULONG myinc = KeQueryTimeIncrement(); KeQueryTickCount(&tick_count); tick_count.QuadPart = myinc; tick_count.QuadPart /= 10000; msec = tick_count.LowPart; } 2008-10-20 13:48 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 9 楼强帖留名嘿嘿 2008-10-21 09:08 0
cnben 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 0 关注私信	cnben 10 楼学习中，汇编中最头疼的就是看懂了汇编，去不知道意思 2008-10-22 11:56 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 11 楼是如何知道这个是ring0代码的？ 2008-10-24 11:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复