- 博客(11)
- 收藏
- 关注
RSS订阅原创 异常派发研究KiDispatchException
当系统Debug模式下:KdDebuggerEnabled1KdPitchDebugger0KiDebugRoutine==KdpTrap此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死当系统正常模式下:KdDebuggerEnabled0KdPitchDebugger1KiDebugRoutine==KdpStub此模式下R3触发异常若没有异常处理接管,则程序崩溃KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1KdEnteredDebugge
2021-10-14 02:48:05
1381
原创 虚函数逆向学习笔记
文档:虚函数.note链接:http://note.youdao.com/noteshare?id=4af89eae509c491057c200c3005c495f&sub=DFEAD2AD347741E08180ADD230261D8B
2021-10-09 23:10:33
165
原创 进程断链。
Win7可用 Win10会PG 大概随机几个小时左右就会蓝屏可应付普通的通过系统API搜索的检测#include <ntddk.h>PsGetProcessImageFileName(__in PEPROCESS Process);NTSTATUSPsLookupProcessByProcessId(__in HANDLE ProcessId,__deref_out PEPROCESS* Process);PEPROCESS FindProcessByName(char*
2021-07-27 09:10:25
532
原创 杀死所有线程干掉某杀软
#include <ntddk.h>NTSTATUSPspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate);NTSTATUSPsGetProcessImageFileName( __in PEPROCESS Process);NTSTATUSPsLookupProcessByProcessId( __in HANDLE
2021-07-27 09:09:24
286
3
原创 SSDTHOOK 12123321
#include <ntddk.h>typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;} KSERVICE_TABLE_DESCRIPTOR, * PKSERVICE_TABLE_DESCRIPTOR;extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//
2021-07-22 18:41:19
288
原创 模拟LoadLibary 做一个LoadDll
HMODULE LoadDll(LPCSTR lpLibFileName){DWORD dwFileSize = 0;DWORD dwpRelocationAddress = 0;DWORD dwImportAddress = 0;DWORD dwOffset = 0;DWORD dwDllCount = 0;fstream file;LPVOID pBuffer = 0;file.open(lpLibFileName, ios::in | ios::binary);if (!fil
2021-07-17 18:22:04
183
原创 自己实现GetProcAddress 实战中方便抹掉导入表 自己重建IAT让别人看不到符号
根据导出表实现:GetProcAddress注意:如果最后出现得函数地址>模块基址+导入表.VirtualAddress得话 则该地址是个字符串 字符串里面有dll和函数名 因为他是个转发地址 需要再调用GetProcAddress去进行获取GetProcAddress(模块,序号-Base)1.DWORD dwAddress=(DWORD)AddressOfFunctions[序号]+模块基址;GetProcAddress(模块,名称)1.遍历(!strcmp(AddressOfName[
2021-07-15 20:28:57
399
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人