[求助]MmGetSystemRoutineAddress的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼自己实现一个 2009-4-29 10:49 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 3 楼怎么实现~~ 2009-4-29 10:50 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 4 楼有例子可以参考吗 2009-4-29 10:51 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼跟瑞星没关系吧~ 2009-4-29 11:04 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 6 楼 http://bbs.pediy.com/showthread.php?t=19678&viewgoodnees=1 __@@2_GetAPIAddress: inc eax cmp byte ptr [esi + eax], 0 jne __@@2_GetAPIAddress ; dec eax 这修改为 INC EAX 要不获取 ntopenprocess 获取不了 2009-4-29 11:10 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 7 楼如果我在driver中怎么做 2009-4-29 11:14 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼和 ring3 差不多啊上面已经给实现那函数的函数了 2009-4-29 11:15 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 9 楼怎么获得hModule 2009-4-29 12:02 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 10 楼 mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz @B mov ebx,eax 2009-4-29 12:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 11 楼 mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz @B mov ebx,eax 你这样，很容易蓝 2009-4-29 13:37 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 12 楼 [QUOTE=qihoocom;613813]mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz ...[/QUOTE] 我不考虑N多环境的，原来sub eax,1，我发现修改 1000h 工作好好的感谢MJ，指导！ 2009-4-29 14:01 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 13 楼 sub eax ,1基本必蓝 1000只是减小概率 2009-4-29 14:02 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 14 楼 GetNtBase proc assume fs:nothing push 38h pop ebx mov eax, fs:[ebx] mov eax, [eax+4h] and ax, 0f001h @@: dec eax cmp word ptr [eax], 5a4dh jnz @B ret GetNtBase endp 这是从GOOGLE 找到的在我机器可以正确获取不蓝请 MJ 看看 2009-4-29 14:08 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 15 楼这个和-1000没什么区别啊某些情况可能蓝 2009-4-29 14:34 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 16 楼是啊没有区别 MJ说的某些情况是不是那内核模块，被抹去了MZ 还有多核的情况 2009-4-29 14:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 17 楼多核或PAE的NTOSKRNL体内会有INVALID的内存页，一旦存在你的代码必蓝~ 2009-4-29 14:58 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 18 楼感谢解惑，我机器刚好没有那情况，太老了 2009-4-29 15:49 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 19 楼谢谢，各位，我完成了 2009-4-29 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼自己实现一个 2009-4-29 10:49 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 3 楼怎么实现~~ 2009-4-29 10:50 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 4 楼有例子可以参考吗 2009-4-29 10:51 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼跟瑞星没关系吧~ 2009-4-29 11:04 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 6 楼 http://bbs.pediy.com/showthread.php?t=19678&viewgoodnees=1 __@@2_GetAPIAddress: inc eax cmp byte ptr [esi + eax], 0 jne __@@2_GetAPIAddress ; dec eax 这修改为 INC EAX 要不获取 ntopenprocess 获取不了 2009-4-29 11:10 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 7 楼如果我在driver中怎么做 2009-4-29 11:14 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼和 ring3 差不多啊上面已经给实现那函数的函数了 2009-4-29 11:15 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 9 楼怎么获得hModule 2009-4-29 12:02 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 10 楼 mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz @B mov ebx,eax 2009-4-29 12:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 11 楼 mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz @B mov ebx,eax 你这样，很容易蓝 2009-4-29 13:37 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 12 楼 [QUOTE=qihoocom;613813]mov eax, fs:[38h] mov eax, [eax+4h] and ax, 0f001h @@: sub eax,1000h cmp word ptr [eax], 5a4dh jnz ...[/QUOTE] 我不考虑N多环境的，原来sub eax,1，我发现修改 1000h 工作好好的感谢MJ，指导！ 2009-4-29 14:01 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 13 楼 sub eax ,1基本必蓝 1000只是减小概率 2009-4-29 14:02 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 14 楼 GetNtBase proc assume fs:nothing push 38h pop ebx mov eax, fs:[ebx] mov eax, [eax+4h] and ax, 0f001h @@: dec eax cmp word ptr [eax], 5a4dh jnz @B ret GetNtBase endp 这是从GOOGLE 找到的在我机器可以正确获取不蓝请 MJ 看看 2009-4-29 14:08 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 15 楼这个和-1000没什么区别啊某些情况可能蓝 2009-4-29 14:34 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 16 楼是啊没有区别 MJ说的某些情况是不是那内核模块，被抹去了MZ 还有多核的情况 2009-4-29 14:41 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 17 楼多核或PAE的NTOSKRNL体内会有INVALID的内存页，一旦存在你的代码必蓝~ 2009-4-29 14:58 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 18 楼感谢解惑，我机器刚好没有那情况，太老了 2009-4-29 15:49 0
bennywing 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	bennywing 19 楼谢谢，各位，我完成了 2009-4-29 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复