Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
32位系统上当你的shellcode有使用__try__except进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常应该是HookRtlIsValidHandler,可是微软没有导出这个接口于是我们逆向看看RtlIsValidHandler发现它会判断ZwQueryInformationProcess的返回值,...
原创
2019-09-27 17:41:28 ·
1652 阅读 ·
0 评论