返回顶部
扩大
缩小

Zhang_derek

上一页 1 2 3 4 5 6 ··· 23 下一页

2022年9月18日

七、回调

摘要: 7.1.进程回调 DriverMain.c #include <ntifs.h> PUCHAR PsGetProcessImageFileName(PEPROCESS Process); //创建进程回调函数 VOID CreateProcessListen( _In_ HANDLE ParentI 阅读全文

posted @ 2022-09-18 23:36 zhang_derek 阅读(67) 评论(0) 推荐(0) 编辑

六、APC

摘要: 6.1.APC初始化 dt _KTHREAD与APC相关的项 +0x03a Alerted : [2] UChar //可警惕。只有允许被唤醒的情况下,警惕才有意义 +0x03c Alertable : Pos 5, 1 Bit //是否可以被唤醒 +0x040 ApcState : _KAPC_S 阅读全文

posted @ 2022-09-18 23:35 zhang_derek 阅读(279) 评论(0) 推荐(0) 编辑

五、句柄表

摘要: 5.1.全局句柄 1.全局句柄表中只存储进程和线程对象,把PID/CID当作索引在全局句柄表中查找对应对象结构. 2全局句柄表有三张表: 0表:共4096字节,每个元素占8个字节,总共可以存512个元素,每个元素指向的就是object本身 1表:共4096字节,每个元素(占4字节)存的是表的索引,可 阅读全文

posted @ 2022-09-18 22:45 zhang_derek 阅读(178) 评论(0) 推荐(0) 编辑

四、进程线程

摘要: 4.1.WRK 1.Project-->New Project-->选择wrk目录-->ok 2.Add and Remove Project Files >选中四个文件-->Add Tree 3.搜索 4.2.KPCR kpcr:cpu核控制块,cpu一个核一个kpcr结构 fs=0x30 在内核 阅读全文

posted @ 2022-09-18 22:40 zhang_derek 阅读(108) 评论(0) 推荐(0) 编辑

驱动读写-驱动隐藏(十一)

该文被密码保护。 阅读全文

posted @ 2022-09-18 22:32 zhang_derek 阅读(4) 评论(0) 推荐(0) 编辑

驱动读写-远程call(十)

该文被密码保护。 阅读全文

posted @ 2022-09-18 22:30 zhang_derek 阅读(3) 评论(0) 推荐(0) 编辑

驱动读写-保护进程(九)

该文被密码保护。 阅读全文

posted @ 2022-09-18 22:27 zhang_derek 阅读(1) 评论(0) 推荐(0) 编辑

驱动读写-内存查询(八)

该文被密码保护。 阅读全文

posted @ 2022-09-18 22:25 zhang_derek 阅读(1) 评论(0) 推荐(0) 编辑

驱动读写-写内存(七)

该文被密码保护。 阅读全文

posted @ 2022-09-18 22:23 zhang_derek 阅读(0) 评论(0) 推荐(0) 编辑

驱动读写-读内存测试(六)

该文被密码保护。 阅读全文

posted @ 2022-09-18 21:54 zhang_derek 阅读(1) 评论(0) 推荐(0) 编辑

上一页 1 2 3 4 5 6 ··· 23 下一页

导航