[求助]再请教,西西,KiAttachProcess这个函数是否导出的,该怎么用呢?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2 楼没有被导出可通过搜索 KeAttachProcess 的第一个E8 来获取 TX就是这样写的 2008-12-27 02:41 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 3 楼 KeAttachProcess这个函数是被导出的是吧,原来TX是这样定位的啊,神... 呵呵,谢谢bujin888,这几天大多都是你帮我解决了不少问题! 2008-12-27 14:11 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 4 楼第一个CALL是call nt!KeUnstackDetachProcess 不是KiAttachProcess呵呵.晕 2008-12-27 14:26 0
笑熬浆糊雪币： 553 活跃值： (887) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 226 粉丝 4 关注私信	笑熬浆糊 2 5 楼第一个 E8CALL 不是 FF CALL 2008-12-27 15:00 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 6 楼对就是第一个E8 CALL,调用的是 nt!KeAttachProcess: 804f9afc 8bff mov edi,edi 804f9afe 55 push ebp 804f9aff 8bec mov ebp,esp 804f9b01 56 push esi 804f9b02 57 push edi 804f9b03 64a124010000 mov eax,dword ptr fs:[00000124h] 804f9b09 8b7d08 mov edi,dword ptr [ebp+8] 804f9b0c 8bf0 mov esi,eax 804f9b0e 397e44 cmp dword ptr [esi+44h],edi 804f9b11 742f je nt!KeAttachProcess+0x46 (804f9b42) nt!KeAttachProcess+0x17: 804f9b13 80be6501000000 cmp byte ptr [esi+165h],0 804f9b1a 752c jne nt!KeAttachProcess+0x4c (804f9b48) nt!KeAttachProcess+0x20: 804f9b1c 64a194090000 mov eax,dword ptr fs:[00000994h] 804f9b22 85c0 test eax,eax 804f9b24 7522 jne nt!KeAttachProcess+0x4c (804f9b48) nt!KeAttachProcess+0x2a: 804f9b26 33c9 xor ecx,ecx 804f9b28 ff1588904d80 call dword ptr [nt+0x1088 (804d9088)] 804f9b2e 884508 mov byte ptr [ebp+8],al 804f9b31 8d864c010000 lea eax,[esi+14Ch] 804f9b37 50 push eax 804f9b38 ff7508 push dword ptr [ebp+8] 804f9b3b 57 push edi 804f9b3c 56 push esi 804f9b3d e890feffff call nt!KeUnstackDetachProcess+0x324 (804f99d2) 整个函数都看了没有调用KiAttachProcess. 2008-12-27 15:24 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 7 楼你下最新的调试符号就显示正常了你调试符号版本不对 2008-12-27 15:46 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 8 楼我还没更新,不过我已经明白了,KeUnstackDetachProcess+0x324 (804f99d2)这个其实就是KiAttachProcess.这个了,郁闷 2008-12-27 16:14 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 9 楼 windbg的BUG使得我多搞了一天,之前在一帖子上看到，Ke只是设置一些环境,判断=,之后再有Ke调用Ki,我就想怎么Ke里没调用呢,原来调试符号错了.昨天在NtClose里也跟了一下，原来也是ki 2008-12-27 16:20 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 10 楼 LZ在搞什么呢?比较好奇 2008-12-27 16:23 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼哈哈,调试RKU,调试TX...玩玩..HOHO~~~ 想全部自己实现下! 2008-12-27 16:50 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 12 楼什么叫第一个E8 call 2008-12-27 21:37 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 13 楼 CALL 就是E8 2008-12-27 22:59 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 14 楼请教下,WINDBG调试符号文件在哪下载,如何更新呢? 2008-12-27 23:36 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 15 楼 srvc:\mysymbolshttp://msdl.microsoft.com/download/symbols;cache*c:\mysymbols 2009-1-20 20:41 0
raptormk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	raptormk 16 楼呵呵，它们是不是inline hook了KiAttachProcess 2009-2-1 14:34 0
zjein 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	zjein 17 楼 KiAttachProcess 这个 API 是干什么用的? 网上没找到说明! 2009-2-2 11:46 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 18 楼附加进程的某一层函数 2009-2-2 12:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 2 楼没有被导出可通过搜索 KeAttachProcess 的第一个E8 来获取 TX就是这样写的 2008-12-27 02:41 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 3 楼 KeAttachProcess这个函数是被导出的是吧,原来TX是这样定位的啊,神... 呵呵,谢谢bujin888,这几天大多都是你帮我解决了不少问题! 2008-12-27 14:11 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 4 楼第一个CALL是call nt!KeUnstackDetachProcess 不是KiAttachProcess呵呵.晕 2008-12-27 14:26 0
笑熬浆糊雪币： 553 活跃值： (887) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 226 粉丝 4 关注私信	笑熬浆糊 2 5 楼第一个 E8CALL 不是 FF CALL 2008-12-27 15:00 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 6 楼对就是第一个E8 CALL,调用的是 nt!KeAttachProcess: 804f9afc 8bff mov edi,edi 804f9afe 55 push ebp 804f9aff 8bec mov ebp,esp 804f9b01 56 push esi 804f9b02 57 push edi 804f9b03 64a124010000 mov eax,dword ptr fs:[00000124h] 804f9b09 8b7d08 mov edi,dword ptr [ebp+8] 804f9b0c 8bf0 mov esi,eax 804f9b0e 397e44 cmp dword ptr [esi+44h],edi 804f9b11 742f je nt!KeAttachProcess+0x46 (804f9b42) nt!KeAttachProcess+0x17: 804f9b13 80be6501000000 cmp byte ptr [esi+165h],0 804f9b1a 752c jne nt!KeAttachProcess+0x4c (804f9b48) nt!KeAttachProcess+0x20: 804f9b1c 64a194090000 mov eax,dword ptr fs:[00000994h] 804f9b22 85c0 test eax,eax 804f9b24 7522 jne nt!KeAttachProcess+0x4c (804f9b48) nt!KeAttachProcess+0x2a: 804f9b26 33c9 xor ecx,ecx 804f9b28 ff1588904d80 call dword ptr [nt+0x1088 (804d9088)] 804f9b2e 884508 mov byte ptr [ebp+8],al 804f9b31 8d864c010000 lea eax,[esi+14Ch] 804f9b37 50 push eax 804f9b38 ff7508 push dword ptr [ebp+8] 804f9b3b 57 push edi 804f9b3c 56 push esi 804f9b3d e890feffff call nt!KeUnstackDetachProcess+0x324 (804f99d2) 整个函数都看了没有调用KiAttachProcess. 2008-12-27 15:24 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 7 楼你下最新的调试符号就显示正常了你调试符号版本不对 2008-12-27 15:46 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 8 楼我还没更新,不过我已经明白了,KeUnstackDetachProcess+0x324 (804f99d2)这个其实就是KiAttachProcess.这个了,郁闷 2008-12-27 16:14 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 9 楼 windbg的BUG使得我多搞了一天,之前在一帖子上看到，Ke只是设置一些环境,判断=,之后再有Ke调用Ki,我就想怎么Ke里没调用呢,原来调试符号错了.昨天在NtClose里也跟了一下，原来也是ki 2008-12-27 16:20 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 10 楼 LZ在搞什么呢?比较好奇 2008-12-27 16:23 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼哈哈,调试RKU,调试TX...玩玩..HOHO~~~ 想全部自己实现下! 2008-12-27 16:50 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 12 楼什么叫第一个E8 call 2008-12-27 21:37 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 13 楼 CALL 就是E8 2008-12-27 22:59 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 14 楼请教下,WINDBG调试符号文件在哪下载,如何更新呢? 2008-12-27 23:36 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 15 楼 srvc:\mysymbolshttp://msdl.microsoft.com/download/symbols;cache*c:\mysymbols 2009-1-20 20:41 0
raptormk 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	raptormk 16 楼呵呵，它们是不是inline hook了KiAttachProcess 2009-2-1 14:34 0
zjein 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	zjein 17 楼 KiAttachProcess 这个 API 是干什么用的? 网上没找到说明! 2009-2-2 11:46 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 18 楼附加进程的某一层函数 2009-2-2 12:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复