- 博客(4)
- 收藏
- 关注
RSS订阅原创 插入远程代码
<br />NTSTATUS InsertRemoteCode(IN ULONG ProcessId,IN PVOID Function){ PX86_KTRAP_FRAME TrapFramePointer; NTSTATUS NtStatus=STATUS_SUCCESS; PEPROCESS PEProcess=NULL; PETHREAD PEThread=NULL; HANDLE ProcessHandle; HANDLE ThreadHandle; OBJECT_
2010-12-13 17:36:00
992
原创 获取进程标识
ULONG GetProcessID(IN UNICODE_STRING ProcessName){NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS;ULONG SystemInformationLength=0;PULONG SystemInformationBuffer=NULL;PSYSTEM_PROCESSES SystemProcessPointer=NULL;ULONG Value=0;ZwQuerySystemInformation
2010-12-13 12:01:00
691
原创 获取内核未导出函数地址
ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature){ NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
2010-12-13 11:44:00
3611
原创 IAT HOOK
导入地址表:Import Address Table由于导入函数就是被程序调用但其执行代码又不在程序中的函数.这些函数的代码位于一个或者多个DLL中.当PE文件被装入内存的时候.Windows装载器才将DLL装入.并将调用导入函数的指令和函数实际所处的地址联系起来.这操作就需要导入表完成.其中导入地址表就指示函数实际地址.BOOL ImportAddressTableHook(HMODULE ModuleAddress,LPCTSTR Library,LPCVOID TargetAddress,LPCVOI
2010-11-30 02:33:00
819
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人