[求助]我见有一文章说EPROCESS-0x18就是object_header...为什么我电脑不是。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]我见有一文章说EPROCESS-0x18就是object_header...为什么我电脑不是。。

发表于: 2017-6-28 15:58 3010

[求助]我见有一文章说EPROCESS-0x18就是object_header...为什么我电脑不是。。

style

2017-6-28 15:58

3010

b9bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3j5$3!0D9j5h3k6@1j5#2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4K6x3K6x3K6V1%4x3R3`.`.

他文章说到：把得到的EPROCESS地址8718b4c8减去0x18，即8718b4b0，直接以dt _object_header 8718b4b0观察之，

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼因为你用的操作系统内核版本和他不一一样 2017-6-28 16:09 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 3 楼 hzqst 因为你用的操作系统内核版本和他不一一样感谢hzqst，搞半天，原来WIN7 64的offset = 30h 2017-6-28 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

style

发帖

100

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 2 楼因为你用的操作系统内核版本和他不一一样 2017-6-28 16:09 0
style 雪币： 111 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 3 楼 hzqst 因为你用的操作系统内核版本和他不一一样感谢hzqst，搞半天，原来WIN7 64的offset = 30h 2017-6-28 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复