-
我HOOK SSDT后,常规的就是获取调用该函数的进程,但是这往往不够我希望获取调用该函数的具体模块名,我的想法是1、反向跟踪用户态堆栈-》获取函数调用关系【类似windbg的堆栈功能】这个比较cool,不知可有哪位兄弟研究过没有?貌似比较复杂啊2、或者当前进程的调用线程以及线程...全文
◆
◆
-
boywhp:老V啊?什么寄存器? 怎么得到当前线程的Win32StartAddress地址啊?不会要硬编码吧?找了下好像有个PsGetContextThread什么的,但是又不导出,其他什么的都要一个HANDLE ThreadHandle的东西,貌似我只有ETHR...(2008-07-29 18:48)
-
wowocock:如果在VISTA下都可以的话,那一般问题就不大了。(2008-07-29 09:50)
-
boywhp:KeGetCurrent->win32startaddress 然后根据进程模块内存分布情况获取调用模块,不知老V看看可否?下面是windbg输出 Thread:815d2020 Process-815d2660 peb-7ffdf000 ldr-00071e90 modL...(2008-07-28 20:30)
-
killvxk:读取某个寄存器,当然这个寄存器里只有调ntdll.dll的那个地址了,没有ntdll.dll做sysentry的地址。你可以仔细研究下。(2008-07-26 09:25)
-
killvxk:第一个很难实现,第二个很容易做到~~ 不过有些时候CurrentThread是会成为ntdll.dll的~~嘿嘿~~ 所以需要更好的方法,就是Attack到进程上面,然后利用寄存器读取法,读出XX。 然后自己读取进程空间的ring3下的那个堆栈,完了说完了——我现在网游的反作弊就...(2008-07-26 09:20)
