狂客 - 博客园

2016年8月11日

摘要： [cpp] view plain copy print? ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescript 阅读全文

posted @ 2016-08-11 16:34 狂客阅读(1936) 评论(0) 推荐(0) 编辑

r0遍历系统进程方法总结

摘要：方法1： ZwQuerySystemInformation 这个方法网上一搜一大堆，不举例了方法2：暴力枚举PID枚举进程，代码： [cpp] view plain copy print? NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICO 阅读全文

posted @ 2016-08-11 16:25 狂客阅读(560) 评论(0) 推荐(0) 编辑

枚举PEB获取进程模块列表

摘要：枚举进程模块的方法有很多种，常见的有枚举PEB和内存搜索法，今天，先来看看实现起来最简单的枚举PEB实现获取进程模块列表。首先，惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出，各位看官根据情况自行添加。 [cpp] view plain copy pri 阅读全文

posted @ 2016-08-11 16:18 狂客阅读(3117) 评论(0) 推荐(0) 编辑

2016年8月8日

用户层获取TEB PEB结构地址遍历进程模块.doc

摘要： 1.fs寄存器指向TEB结构 2.在TEB+0x30地方指向PEB结构 3.在PEB+0x0C地方指向PEB_LDR_DATA结构 4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了，如第一个指向ntdll.dll，第二个就是kernel32.dll的地址。其结构示意图如图利用阅读全文

posted @ 2016-08-08 11:35 狂客阅读(625) 评论(0) 推荐(0) 编辑

2016年8月6日

Process32First 返回FALSE的原因

摘要：一般情况下是不会返回FALSE的，如果发生了，请检查： 1：系统为UNICODE的，一定要设置PROCESSENTRY32的dwSize为sizeof(PROCESSENTRY32)即可。。阅读全文

posted @ 2016-08-06 16:53 狂客阅读(682) 评论(0) 推荐(0) 编辑

2016年7月25日

windows内核需要注意的

摘要：修改windows内核函数先屏蔽KdPrint 测试。 Hook函数一律使用全局变量妹的。。KiTrap0E 修改。触发了已经断点。但是硬件断点Hook函数里只要使用KdPrint 就蓝屏阅读全文

posted @ 2016-07-25 12:01 狂客阅读(407) 评论(0) 推荐(0) 编辑

2016年7月14日

Windows MDL原理总结

摘要： http://blog.csdn.net/tbwood/article/details/5400419 http://www.cnblogs.com/jack204/archive/2011/12/25/2300983.html 内存分配大建议使用 NonPagedPool 不要使用 PagePo 阅读全文

posted @ 2016-07-14 15:17 狂客阅读(539) 评论(0) 推荐(0) 编辑

2016年7月13日

WINDOWS页式内存管理解析

摘要： jpg 改 rar 阅读全文

posted @ 2016-07-13 15:23 狂客阅读(213) 评论(0) 推荐(0) 编辑

2016年7月12日

sidt十六进制代码

摘要： 00121453 0F010D 40441200 sidt fword ptr ds:[gliu]0012145A 0F014D B0 sidt fword ptr ss:[ebp-0x50]0012145E 0F014D 50 sidt fword ptr ss:[ebp+0x50]0012146 阅读全文

posted @ 2016-07-12 17:00 狂客阅读(621) 评论(0) 推荐(0) 编辑

2016年7月7日

机器码解析汇编学习

摘要： jpg 改 rar 阅读全文

posted @ 2016-07-07 09:47 狂客阅读(410) 评论(0) 推荐(0) 编辑

狂客

公告