摘要:
答:应该记得博客里。原先做笔记都用WORD写,过很长时间就找不见在哪了。。囧。看样子还是要写到博客上。。不怕丢。除非博客园瞬间挂掉,呵呵 阅读全文
摘要:
看完郁金香第020课总结:同样的一句指令 JMP 88881234在不同位置有以下现象找规律:88881234 - 010073bb = 87879E7988881234 – 010073c0 = 87879E7488881234 – 010073c5 = 87879E6F因为机器码 如E9 749e8787 是按字节排列的所以87879E74显示出来是749e8787所以可得以下公式JMP的地址(88881234) – 代码地址(010073bb) – 5(字节) = 机器码跳转地址(E9 87879e74)typedef struct _JMPCODE{BYTE E9;ULONGJMPAD 阅读全文
摘要:
1 Ssdt表的基本结构KeServiceDescriptorTable 首地址:8055D7000: kd> dd KeServiceDescriptorTable8055d700 80505460 00000000 0000011c 805058d48055d710 00000000 00000000 00000000 000000008055d720 00000000 00000000 00000000 000000008055d730 00000000 00000000 00000000 000000008055d740 00000002 00002710 bf80c349 00 阅读全文