[求助]WIN7X64 NtCreateDebugObject逆向问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

xxyiyi

2017-8-31 14:12

3053

这个函数中有一段代码如下：

mov rax, gs:188h//rax指向_KTHREAD

mov rcx, [rax+70h]//_KTHREAD+0x50:_KAPC_STATE,_KAPC_STATE+0x20:_KPROCESS,rcx指向_KPROCESS

cmp [rcx+320h], rdx//_KPROCESS总大小只有0x15C

求助大家：[_KPROCESS+320h]是什么？

收藏・0

免费・0

支持

最新回复 (3)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼 EPROCESS的大小0x4D0 +0x320怕不是windows7x64的Wow64Process位置，判断是不是Wow64进程 2017-9-1 12:25 0
xxyiyi 雪币： 300 活跃值： (770) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 51 粉丝 4 关注私信	xxyiyi 3 楼 cvcvxk EPROCESS的大小0x4D0 +0x320怕不是windows7x64的Wow64Process位置，判断是不是Wow64进程谢谢V大，动态跟了下，就是判断是不是Wow64进程 2017-9-1 16:02 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 4 楼跟随V大的脚步学习 2017-9-5 06:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xxyiyi

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼 EPROCESS的大小0x4D0 +0x320怕不是windows7x64的Wow64Process位置，判断是不是Wow64进程 2017-9-1 12:25 0
xxyiyi 雪币： 300 活跃值： (770) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 51 粉丝 4 关注私信	xxyiyi 3 楼 cvcvxk EPROCESS的大小0x4D0 +0x320怕不是windows7x64的Wow64Process位置，判断是不是Wow64进程谢谢V大，动态跟了下，就是判断是不是Wow64进程 2017-9-1 16:02 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 4 楼跟随V大的脚步学习 2017-9-5 06:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复