[求助]在驱动创建的线程在ring3能检测并判断是那个驱动创建的吗-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 2 楼先ZwQuerySystemInformation（SystemModuleInfo）得到目标驱动的基址和映象大小，然后再ZwQuerySystemInformation（ProcessThreadsInfo）得到System进程中各个线程的StartAddress，判断一下是不是落在那个范围就行了 2009-10-18 07:43 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 3 楼哈哈，我现在去试试看，谢谢LS 2009-10-18 17:06 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 4 楼不行呢，为啥每次得到起始地址都是0啊是不是ring3不能得到这个信息呢，在ring0下面得到的值又是对的 2009-10-19 01:26 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 5 楼看看返回的错误码 2009-11-28 01:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 2 楼先ZwQuerySystemInformation（SystemModuleInfo）得到目标驱动的基址和映象大小，然后再ZwQuerySystemInformation（ProcessThreadsInfo）得到System进程中各个线程的StartAddress，判断一下是不是落在那个范围就行了 2009-10-18 07:43 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 3 楼哈哈，我现在去试试看，谢谢LS 2009-10-18 17:06 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 4 楼不行呢，为啥每次得到起始地址都是0啊是不是ring3不能得到这个信息呢，在ring0下面得到的值又是对的 2009-10-19 01:26 0
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 5 楼看看返回的错误码 2009-11-28 01:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

账号登录 验证码登录