能力值:
( LV8,RANK:130 )
|
-
-
2 楼
用notepad看了下debugstr,是 r0 call r3?
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
KeUserModeCallback
|
能力值:
( LV12,RANK:1010 )
|
-
-
4 楼
KeUserModeCallback
上debugman太不安全了,被R N次了。。。
|
能力值:
( LV12,RANK:1010 )
|
-
-
5 楼
找到本进程(发IOCTL给SYS的进程空间)模块user32.dll->MessageBoxA的地址,分配块内存填充"KeUserModeCallback: Hello from ring0 !!"。 再调KeUserModeCallback执行下。
效果就是R0的弹框
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
wowocock 大牛 QQ联系下 在群里呼唤着你
|
能力值:
( LV12,RANK:1010 )
|
-
-
8 楼
老V下次发BIN,得加花加密一下,这样分析起来才锻炼人啊。也有意思~
呵呵
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
又不是炫耀贴,老V是发出来让大家学习的,嘿嘿.....
|
能力值:
( LV12,RANK:760 )
|
-
-
10 楼
找到了原始的代码,是俄国鬼子干的~~
哎~
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
贴出来吧,我找到的都是汇编的,现在习惯用C 了.
|
能力值:
( LV12,RANK:760 )
|
-
-
12 楼
http://twister.rootkits.ru/sources/ke_user_mode_callback.rar
|
能力值:
( LV9,RANK:610 )
|
-
-
13 楼
老V放出来的东西,赶紧收藏~
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
收藏去了。。。我以为是kdbcallback
|
能力值:
( LV9,RANK:170 )
|
-
-
15 楼
老毛子真的是很强悍啊!
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
收藏了,有时间学习下
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
[QUOTE=;]...[/QUOTE]
太帅了~~
我还一直自己写插apc的...
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
看起来很好玩。学习一下
|
能力值:
( LV4,RANK:50 )
|
-
-
19 楼
原来有源码啊,害我反出来一点成就感都没有
|
能力值:
( LV4,RANK:50 )
|
-
-
20 楼
以后真的可以用驱动写一个记事本
|
能力值:
( LV4,RANK:50 )
|
-
-
21 楼
写一个串口驱动,人家刚刚打开一个串口,就弹出一个记事本,简直莫名,呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
我俄语学校毕业的,现在字母都认不全了,惭愧
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
学习.唉.既然是放BIN .别弄壳啦.再说啦.你们一弄壳啊都是超级XX的壳.这是看BIN呢还是看壳哇~~ 当偶什么什么也没说过吧.
菜菜鸟飘过~~~~
|
能力值:
( LV3,RANK:20 )
|
-
-
24 楼
要放就放SRC撒 放什么BIN
|
能力值:
( LV12,RANK:420 )
|
-
-
25 楼
这个比较郁闷的是,如果进程体内没user32.dll,就不行了~
还得替他LOAD一下
不过利用userdispatcher计算地址的XX来做到不占用index调用,比较有意思的做法~
|
|
|