![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
进程保护
(-: LYSM :-)
这个作者很懒,什么都没留下…
展开
-
[进程保护] CrossThreadFlags 标志位
将进程的所有线程的线程 CrossThreadFlags 标志位设置成 Terminated 或者 System。win 10 下的偏移:dt _ethread...+0x6d0 CrossThreadFlags...这个在Wrk中有简单的说明,大概就是:union { ULONG CrossThreadFlags; struct { ULONG Terminated : 1; // 欺骗系统此原创 2021-08-16 19:21:57 · 705 阅读 · 1 评论 -
[保护&过保护] _EPROCESS 的 Protection 成员
在 win10 中,该成员在 _eprocess 结构中的偏移如下:dt _eprocess:......+0x6ca Protection : _PS_PROTECTION......将这个成员修改为 0x72 (参考 System 进程的值) ,就可以让一个普通的进程(如 NotePad)变成受保护状态,在 Pchunter 里看到的就是 应用层访问拒绝 。...原创 2021-08-16 14:19:30 · 871 阅读 · 1 评论