- 博客(2)
- 资源 (3)
- 收藏
- 关注
RSS订阅转载 获取内核函数的原始地址
本文以获取NtReadVirtualMemory讲述当该函数被HOOK后如何获取到正确的地址为例,解析获取原始内核函数地址的一种思路。思路虽然比较笨拙,但是也不失为一种解决办法。 图片:1.bmp 上图中NtReadVirtualMemory函数被hook了,如果我们从SSDT表获取函数的地址,则获取到的函数地址为0XA1277AFE而不是原始的函数地址0x805884F7,并且
2014-04-29 21:15:02
3133
转载 windows内核情景分析
windows内核情景分析 --APC,有需要的朋友可以参考下。APC:异步过程调用。这是一种常见的技术。前面进程启动的初始过程就是:主线程在内核构造好运行环境后,从KiThreadStartup开始运行,然后调用PspUserThreadStartup,在该线程的apc队列中插入一个APC:LdrInitializeThunk,这样,当PspUserThreadStartup返回
2014-04-21 18:01:01
2630
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人