该文被密码保护。

摘要：XP~WIN7WIN7下，用undocumented 函数NtCreateThreadEx相当方便搞定XP下。只要绕过子系统通信校验即可，代码实现的话，绕下即可。关键是csrss.exe，还是使用CreateRemoteThread 阅读全文

摘要：对于初识2中提出的问题，先来看下内核内存分布kd> dd MmSessionPoolSize l180c394b4 00400000kd> dd MiSessionPoolStart l180c394cc bc000000kd> dd MiSessionViewStart l180c394c0 bc400000现在还看下那个全局变量MmSessionSpacekd> dd mmsessionspace l180c394e8 bf7f0000kd> !address bf7f0000 bc400000 - 03400000 Usage KernelSpaceU... 阅读全文

摘要：--------- 阅读全文

摘要：byshadow3转：http://hi.baidu.com/hnxyy/blog/item/c65aa86ebd56ceda80cb4a46.html前段时间在研究TDI和NDIS，发现在WINDOWS下复用端口并非很麻烦的事情，如果你对TDICLIENT比较熟悉的话，会发现这其实很容易，之前有很多种方法都可以复用端口，但是都会有或多或少的一些问题，例如hookwinsock函数，他需要把每个进程里的函数都hook，才能保证可以复用端口，而且这种方法对于win2k3的IIS6不通用，因为iis6有内核驱动http.sys来处理连接管理和数据接收等，当然后来还有NDIS上的hook，用他来接受 阅读全文

摘要：nt!_SECTION_OBJECT_POINTERS +0x000 DataSectionObject : 0x84b38388 Void +0x004 SharedCacheMap : 0x84e52458 Void +0x008 ImageSectionObject : 0x84a1a228 VoidDataSectionObject和SharedCacheMap里面对应的cache物理地址一样。ImageSectionObject的独立kd> !ca 84b38388 ControlArea @ 84b38388Segment e168ed98 Flink 00000000 .. 阅读全文

摘要：typedef struct _SEGMENT { struct _CONTROL_AREA *ControlArea; ULONG TotalNumberOfPtes; ULONG NonExtendedPtes; ULONG Spare0; UINT64 SizeOfSegment; MMPTE SegmentPteTemplate; SIZE_T NumberOfCommittedPages; PMMEXTEND_INFO ExtendInfo; SEGMENT_FLAGS SegmentFlags; PVOID BasedAddress;//映象基地址 // // The fields 阅读全文

该文被密码保护。

摘要：如果Process->SeAuditProcessCreationInfo.ImageFileName有值，NULL掉，并ExFreePool了。然后再遍历进程（简单zwqueryxxx即可），有神奇效果PS：进程名先查找Process->SeAuditProcessCreationInfo.ImageFileName，如果为空则obquery获取，并赋值到Process->SeAuditProcessCreationInfo.ImageFileName中，上面获取方法都没成功才会直接取Process->ImageFileName另外，asm说直接用zwqueryvir 阅读全文