阅读:2551回复:20
劫持系统服务调用表需要改读写属性么?
我在XP和2003下劫持系统服务调用表是和2000下用一样的代码,如下
_asm cli syscall(0xXXX) = newXXX; _asm sti 没有出现问题。那么大侠们所讲的改内存读写属性还需要么? |
|
最新喜欢:threeb... |
沙发#
发布于:2005-04-28 10:03
我在XP和2003下劫持系统服务调用表是和2000下用一样的代码,如下 没有出现问题,当然不需要了,其实只要这条指令确实被执行了,那就没事,否则你早Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY,但是要验证,确实劫持成功才行,听说2003 sp1不允许这样做了. 把syscall(0xXXX) = newXXX;的上下文贴一下 |
|
|
板凳#
发布于:2005-04-28 11:53
在64BIT下得另外想办法.......
|
|
|
地板#
发布于:2005-04-28 14:54
在64BIT下得另外想办法....... 老大,继续呀!!!! |
|
|
地下室#
发布于:2005-04-28 15:09
就这3行代码,没有上下文的。
“64BIT下得另外想办法”是什么意思啊? |
|
5楼#
发布于:2005-04-28 17:07
64位下有办法吗
|
|
6楼#
发布于:2005-04-29 09:49
就这3行代码,没有上下文的。 算了,是不是这个 #define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)] “64BIT下得另外想办法”指64位windows不让这样干了,具体还请wowocock讲解一下他最新的研究成果,我们只好纸上谈兵一下 |
|
|
7楼#
发布于:2005-04-29 22:06
[quote]在64BIT下得另外想办法....... 老大,继续呀!!!! [/quote] 好像 rising 解决了,不知道是真的还是假的。 2003 server +sp1 +32位cpu 也不能用吗? |
|
|
8楼#
发布于:2005-05-01 10:25
bmyyyud,就是你说的这个。
|
|
9楼#
发布于:2005-05-01 16:41
bmyyyud,就是你说的这个。 嘻嘻,这就是说你成功了! |
|
|
10楼#
发布于:2005-05-02 22:22
是成功了,可是没有涉及到更改内存属性的问题,不知道有没有隐患?
|
|
11楼#
发布于:2005-05-03 11:42
是成功了,可是没有涉及到更改内存属性的问题,不知道有没有隐患? 嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY兰屏 |
|
|
12楼#
发布于:2005-05-08 22:41
[quote]是成功了,可是没有涉及到更改内存属性的问题,不知道有没有隐患? 嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY兰屏 [/quote] 是吗?我试试。万分感谢提醒。 |
|
13楼#
发布于:2005-05-09 11:52
根据微软 的说法是如果要在64BIT,下那么做的话,可以和微软私下联系,没有公开的方法,我测试过,64BIT下的SERVIVETABLE好象有问题,你无法通过KESERVICEDESCRIPAORTABLE来获得正确的SERVICE TABLE的地址.
|
|
|
14楼#
发布于:2005-05-09 11:54
#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
在64BIT下那么做,蓝屏没商量. 而且NTDLL,和NTOSKRNL的服务函数汇编代码完全不同,所以必须动态获得的地址...... |
|
|
15楼#
发布于:2005-05-09 12:08
而且NTDLL,和NTOSKRNL的服务函数汇编代码完全不同,所以必须动态获得的地址...... 这是什么意思,请老大明示,偶等洗耳恭听!!! |
|
|
16楼#
发布于:2005-05-09 16:01
#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)] 现在老大总是只说半句话,偶们知道老大一个人在64bitWindows中游弋,高出不胜寒呀,有空儿给大家上一课 |
|
|
17楼#
发布于:2005-05-12 10:51
是啊,我等再次领略云里雾里的感觉!一个字:蒙!
|
|
18楼#
发布于:2005-05-12 17:41
wowocock是怎样练成的?
|
|
19楼#
发布于:2005-05-13 08:57
wowocock是怎样练成的? 偶现在有AMD64手册,给偶一个64bit CPU,偶也... |
|
|
上一页
下一页