20楼#
发布于:2008-08-01 17:24
应该是HOOK了NTxxxxx函数,怎么是hook 了ZWXXX
|
|
21楼#
发布于:2008-07-30 21:36
学习
不过好像可以注册一个进程创建的回调 解决监视进程创建 关于占领SYS高地 呵呵 不如挂钩注册表 因为你挂文件好像也不一定能“守住ring0高地”吧 呵呵 |
|
22楼#
发布于:2008-07-01 19:31
不错,正好学习一下
|
|
23楼#
发布于:2008-05-10 08:02
值得尊敬!!!
|
|
24楼#
发布于:2008-05-01 21:19
学习,谢谢!
|
|
25楼#
发布于:2008-04-29 23:51
下来学学
|
|
26楼#
发布于:2008-04-14 20:08
向楼主学习
|
|
27楼#
发布于:2008-04-04 10:24
Vista SP1不支持哦
|
|
28楼#
发布于:2008-04-01 10:49
|
|
29楼#
发布于:2008-02-24 12:14
正在学习,谢了
|
|
30楼#
发布于:2008-01-16 15:17
学习了,非常感谢!!!
|
|
31楼#
发布于:2008-01-08 16:45
和大家一样,顶你一下
|
|
|
32楼#
发布于:2007-12-19 21:21
下来看看学习一下。谢谢
|
|
33楼#
发布于:2007-12-11 18:36
共同学习
一起进步 |
|
34楼#
发布于:2007-11-29 08:47
在禁止了进程运行后,会弹出“不是有效句柄”的错误?请问怎么把这个消息屏蔽掉?
|
|
35楼#
发布于:2007-11-28 11:43
很棒,学习了
|
|
驱动小牛
|
36楼#
发布于:2007-11-27 15:31
//小弟不才,是为了给驱动传送CreateProcess的地址?
DWORD * addr=(DWORD *)(1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateProcess")); //这个是清零 ZeroMemory(outputbuff,256); //??小弟不才,没看懂这句的意思?是为了给驱动传送CreateProcess的地址? //看驱动中是得到了CreateProcessEx的地址,这个是不是没用的语句? controlbuff[0]=addr[0]; //下面这句是从4字节后设置成共享内存并发给驱动 controlbuff[1]=xxxx; |
驱动小牛
|
37楼#
发布于:2007-11-27 14:44
不顶没良心.
|
38楼#
发布于:2007-11-26 10:50
支持,不知道vista64下,好用不,
等晚上回家测试一下. |
|
39楼#
发布于:2007-11-23 20:16
学习 谢谢
|
|