[求助]如何固定进程堆-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。 2017-6-18 14:59 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 3 楼 cvcvxk 只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。 2017-6-19 06:44 0
bambooqj 雪币： 799 活跃值： (1236) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 366 粉丝 41 关注私信	bambooqj 4 楼 cvcvxk 只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全..很多细节没说... 2017-6-19 09:10 0
yeyeshun 雪币： 1385 活跃值： (4253) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 414 粉丝 16 关注私信	yeyeshun 2 5 楼不会，只是进来拜楼主的 2017-6-19 10:18 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼 bambooqj 要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全..很多细节没说... snapshot不需要关心这个啊，只要把当时的线程状态，（PEB需要完整存下来，VAD也需要，如果想快照正常运行那么PageTable也得怼下来）进程状态保存，还有句柄表(object名称与handle值，object的状态...) 内存这块只要完整按照Query的Block出来保存。加载的时候ZwAllocate回去对应地址就行了。至于句柄表重建需要驱动去搞定...因为对应handle值与object关系... 2017-6-20 13:08 0
bambooqj 雪币： 799 活跃值： (1236) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 366 粉丝 41 关注私信	bambooqj 7 楼 cvcvxk bambooqj 要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全 ... 谢谢v总... 2017-6-20 22:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。 2017-6-18 14:59 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 3 楼 cvcvxk 只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。 2017-6-19 06:44 0
bambooqj 雪币： 799 活跃值： (1236) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 366 粉丝 41 关注私信	bambooqj 4 楼 cvcvxk 只见过只能固定主线程和一些特定条件的，不可能全部，因为多线程代码谁先执行，看cpu与系统调度。要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全..很多细节没说... 2017-6-19 09:10 0
yeyeshun 雪币： 1385 活跃值： (4253) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 414 粉丝 16 关注私信	yeyeshun 2 5 楼不会，只是进来拜楼主的 2017-6-19 10:18 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼 bambooqj 要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全..很多细节没说... snapshot不需要关心这个啊，只要把当时的线程状态，（PEB需要完整存下来，VAD也需要，如果想快照正常运行那么PageTable也得怼下来）进程状态保存，还有句柄表(object名称与handle值，object的状态...) 内存这块只要完整按照Query的Block出来保存。加载的时候ZwAllocate回去对应地址就行了。至于句柄表重建需要驱动去搞定...因为对应handle值与object关系... 2017-6-20 13:08 0
bambooqj 雪币： 799 活跃值： (1236) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 366 粉丝 41 关注私信	bambooqj 7 楼 cvcvxk bambooqj 要搞一个类似于进程快照的东西..再次打开的时候还原当时进程环境..谭立春那本书里有写.但是代码不全 ... 谢谢v总... 2017-6-20 22:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复