11 2014 档案

摘要:1:使用 !process 0 0 察看所有 EPROCESS2:使用.process /p + 需要断的应用程序的EProcess地址,切换到应用程序的地址空间 例如:.process /p 0x80a02a603:重新加载user PDB文件 .reload /f /user4:使用非侵入式的切 阅读全文
posted @ 2014-11-25 01:00 穷到底 阅读(176) 评论(0) 推荐(0) 编辑
摘要:公元:2014年11月15日13时53分17秒阴3局农历:2014年闰09月23日13时53分立冬:2014-11-7 21:36:00 大雪:2014-12-7 14:11:00干支:甲午年 乙亥月 庚寅日 癸未时 旬空:辰巳空 申酉空 午未空 申酉空直符:天芮 直使:死门 旬首:甲戌己┌────... 阅读全文
posted @ 2014-11-15 14:14 穷到底 阅读(224) 评论(0) 推荐(0) 编辑
摘要:其实,道理上说,的确,创建一个文件,是要有打开文件的这个过程的,但是不知道为什么,我这里根本拦截不到打开文件的这个过程。举个例子,前面初始化了Minifilter,然后注册了两个回调,进程创建回调和镜像加载回调红色部分为进程创建回调,其实进程创建回调被触发的时候,第一个镜像就已经被加载起来了,但是我... 阅读全文
posted @ 2014-11-10 01:17 穷到底 阅读(269) 评论(0) 推荐(0) 编辑
摘要:(此方案完全可行,只是我忘掉了一步)虽然Vista之后版本有进程创建回调函数的Ex版,而且Ex版可以拦截进程创建,但是由于在Ex版回调函数内用第三个参数的最后一个元素来阻止进程创建的话,可能会出现弹框,所以不安全,所以这个方案可行性不高。(这里说的不安全,是说可以被用户层看到这个弹框,可以被发现,处... 阅读全文
posted @ 2014-11-07 10:33 穷到底 阅读(1063) 评论(0) 推荐(0) 编辑
摘要:自己验证的环境WinXP SP3 x86进程创建回调 进程被影射进内存之后,仅仅是被影射进来之后。 也就是进程内部空间的修改可能会修改到应用程序文件。 这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep。 这时可以做的操作不多, 可以插入APC,但... 阅读全文
posted @ 2014-11-06 10:22 穷到底 阅读(415) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示