版块
论坛
喜欢
话题
应用
搜索
登录
注册
cicada的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=71078
劫持系统服务调用表需要改读写属性么?
我在XP和2003下劫持系统服务调用表是和2000下用一样的代码,如下_asm clisyscall(0xXXX) = newXXX;_asm sti没有出现问题。那么大侠们所讲的改内存读写属性还需要么?
回复
(
20
)
2005-04-28 09:42
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
wywwwl
:
根据微软 的说法是如果要在64BIT,下那么做的话,可以和微软私下联系,没有公开的方法,我测试过,64BIT下的SERVIVETABLE好象有问题,你无法通过KESERVICEDESCRIPAORTABLE来获得正确的SERVICE TABLE的地址. 恐怕要花很多钱吧....
(2005-05-13 16:34)
回复
bmyyyud
:
wowocock是怎样练成的? 偶现在有AMD64手册,给偶一个64bit CPU,偶也...
(2005-05-13 08:57)
回复
cicada
:
wowocock是怎样练成的?
(2005-05-12 17:41)
回复
yunyanrong
:
是啊,我等再次领略云里雾里的感觉!一个字:蒙!
(2005-05-12 10:51)
回复
bmyyyud
:
#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)] 在64BIT下那么做,蓝屏没商量. 而且NTDLL,和NTOSKRNL的服...
(2005-05-09 16:01)
回复
bmyyyud
:
而且NTDLL,和NTOSKRNL的服务函数汇编代码完全不同,所以必须动态获得的地址...... 这是什么意思,请老大明示,偶等洗耳恭听!!!
(2005-05-09 12:08)
回复
wowocock
:
#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)] 在64BIT下那么做,蓝屏没商量. 而且NTDLL,和NTOSKRNL的服...
(2005-05-09 11:54)
回复
wowocock
:
根据微软 的说法是如果要在64BIT,下那么做的话,可以和微软私下联系,没有公开的方法,我测试过,64BIT下的SERVIVETABLE好象有问题,你无法通过KESERVICEDESCRIPAORTABLE来获得正确的SERVICE TABLE的地址.
(2005-05-09 11:52)
回复
cicada
:
[quote]是成功了,可是没有涉及到更改内存属性的问题,不知道有没有隐患? 嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WR...
(2005-05-08 22:41)
回复
bmyyyud
:
是成功了,可是没有涉及到更改内存属性的问题,不知道有没有隐患? 嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WRITE_TO_...
(2005-05-03 11:42)
回复
1
2
下一页 »
cicada
加关注
写私信
0
关注
1
粉丝
263
帖子
返回顶部