-
小弟我迫切需要帮助:我在学习SoBeIt的“绕过内核调度链表进程检测”中的代码部分,但把里面的程序拿来调试时却遇到很多问题,这个程序需要使用DDK调试吗?我目前使用的是DDK+VC+DriverStudio调试,但现在遇到的问题是调试时,编译器报告:error LNK2001: ...全文
◆
◆
-
neo1980919:干脆我们大家来看源代码吧: ///////////////////////////////////////// #include "ntddk.h" #include "ntifs.h" #include "stdio.h...(2005-01-31 15:39)
-
wowocock:建议你通过Hook ZwQuerySystemInformation来实现吧,写一个简单的驱动,只Hook这个函数就够了,网上有很多这样的帖子,你可以看看。 你好象过于自信了吧??? 我通过挂钩SwapContext函数可以显示所有的进程(只要该线程被调度了),SOBEIT...(2005-01-31 14:42)
-
fslife:建议你通过Hook ZwQuerySystemInformation来实现吧,写一个简单的驱动,只Hook这个函数就够了,网上有很多这样的帖子,你可以看看。(2005-01-31 14:29)
-
neo1980919:#ifdef DBG TARGETLIBS="D:\\NTDDK\\libchk\\i386\\ntoskrnl.lib" #else TARGETLIBS="D:\NTDDK\\libfre\\i386\\ntoskrnl.lib"...(2005-01-31 11:40)
-
neo1980919:#ifdef DBG TARGETLIBS="D:\\NTDDK\\libchk\\i386\\ntoskrnl.lib" #else TARGETLIBS="D:\\NTDDK\\libfre\\i386\\ntoskrnl.lib&quo...(2005-01-31 11:38)
-
wowocock:MmGetSystemRoutineAddress(2005-01-31 10:41)
-
peirose:[quote]你出现的不是编译错误,而是linking error! 需要将相应DLL的Import LIB加入工程中, 或者使用LoadLibrary和GetProcAddress来进行显式调用。 连接错误就没有错,但这个是内核函数,使用LoadLibrary和GetP...(2005-01-29 11:45)
-
neo1980919:psterminatesystemthread不是在ntddk.h中已经声明了的吗,怎么还会发生链接错误呢(2005-01-29 11:36)
-
AllenZh:你出现的不是编译错误,而是linking error! 需要将相应DLL的Import LIB加入工程中, 或者使用LoadLibrary和GetProcAddress来进行显式调用。 连接错误就没有错,但这个是内核函数,使用LoadLibrary和GetProcAddr...(2005-01-29 11:13)
-
dawnss:内核函数是不能在应用层调用的,在98下可以通过门调用转到 RING0层进行访问。在2K,XP下还须做一个驱动程序.(2005-01-29 11:10)
