- 博客(4)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 关于win7下RemoveDPC学习到的一点东西
搜集了很多资料和网页,为了枚举dpc花了很大功夫,为了方便大家学习相关知识与减少花费无谓的时间,将removedpc的小技巧和自己遇到的问题分享给大家关于枚举DPC这个是整个removedpc最大的问题。xp下可以导出 KiTimerTableListHead然后遍历,但是win7及以上是没有导出的(无论32位还是64位),所以当前我们的问题是如何获得“KiTimerTable
2017-04-20 22:47:11
740
原创 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
typedef struct _LDR_DATA_TABLE_ENTRY{LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID DllBase;PVOID EntryPoint;ULONG32 S
2017-04-17 18:56:35
2431
原创 win7x64下的kpcr结构和kprcb结构
//翻网页看全是x86的,然后我就自己来找x64的//下面都是windbg调的nt!_KPCR +0x000 NtTib : _NT_TIB +0x000 GdtBase : Ptr64 _KGDTENTRY64 +0x008 TssBase : Ptr64 _KTSS64 +0x010 Us
2017-04-12 17:14:15
2972
原创 //关于函数ZwQuerySystemInformation的第一个参数 SystemInformationClass
//因为经常找不到_SYSTEM_INFORMATION_CLASS里的第十一个值SystemModuleInformation对应的结构//现将该结构整理一下方便查阅//该函数的原型是NTSTATUS WINAPI ZwQuerySystemInformation( __in SYSTEM_INFORMATION_CLASSSystemInformatio
2017-04-08 00:36:44
1211
空空如也
为什么说不能手动设置通知事件的方法来取代同步事件
2017-04-24
TA创建的收藏夹 TA关注的收藏夹
TA关注的人