[求助]64位Win7下HANDLE_TABLE_ENTRY关于PEPROCESS或PETHREAD的转换公式-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼我猜你说的是pspcidtable 如果是，那么请看这个 848K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8P5Y4g2J5k6f1N6J5k6h3g2F1i4K6u0r3b7i4u0C8g2r3!0G2L8p5c8J5N6W2)9J5c8X3u0D9L8$3u0Q4x3V1j5^5k6U0j5H3k6X3c8W2x3e0W2S2z5e0j5^5y4X3y4X3y4K6W2W2k6e0R3^5y4o6u0X3x3U0t1^5x3e0R3J5k6o6q4S2k6e0V1I4j5e0t1$3i4K6u0r3f1$3!0#2M7X3y4W2i4K6u0r3f1%4W2K6g2r3S2J5k6h3q4V1i4K6u0W2j5H3`.`. 2018-12-14 21:02 0
hhkqqs 雪币： 13508 活跃值： (6924) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 43 关注私信	hhkqqs 1 3 楼多谢指教，看来确实如我所设想的，把TableEntry前8字节取出来，低3位清零得到PEPROCESS。顺便请教一下64位Win8.1的RefCnt、ObjectPointerBits分别是多少位呢，谢谢！ 2018-12-14 21:25 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼 e59K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0U0k6i4y4K6K9r3q4U0K9$3g2J5i4K6u0r3M7s2u0G2j5$3g2K6M7$3S2S2j5$3E0W2M7W2)9J5c8X3u0D9L8$3u0Q4x3V1j5J5j5X3t1%4x3e0S2X3x3K6k6S2y4K6l9J5k6X3c8W2y4X3y4T1x3K6b7$3k6e0V1I4y4K6V1$3z5e0k6T1j5U0S2U0y4K6f1^5k6o6q4X3i4K6u0r3d9#2m8J5L8$3y4W2M7%4y4t1j5h3y4C8k6i4u0Q4x3V1k6A6L8X3y4D9N6h3c8W2i4K6u0r3L8Y4c8X3K9h3I4D9i4K6u0W2K9q4)9J5x3@1H3I4y4o6R3`. 自己看 2018-12-15 11:21 0
hhkqqs 雪币： 13508 活跃值： (6924) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 43 关注私信	hhkqqs 1 5 楼这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所以想了解一下每个版本的objectpointerbits 最后于 2018-12-15 21:40 被hhkqqs编辑，原因： 2018-12-15 21:33 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 6 楼 hhkqqs 这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所 ... win8以后解码方式都一样的，自己找个有符号的ntosIDA一下 2018-12-18 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼我猜你说的是pspcidtable 如果是，那么请看这个 848K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8P5Y4g2J5k6f1N6J5k6h3g2F1i4K6u0r3b7i4u0C8g2r3!0G2L8p5c8J5N6W2)9J5c8X3u0D9L8$3u0Q4x3V1j5^5k6U0j5H3k6X3c8W2x3e0W2S2z5e0j5^5y4X3y4X3y4K6W2W2k6e0R3^5y4o6u0X3x3U0t1^5x3e0R3J5k6o6q4S2k6e0V1I4j5e0t1$3i4K6u0r3f1$3!0#2M7X3y4W2i4K6u0r3f1%4W2K6g2r3S2J5k6h3q4V1i4K6u0W2j5H3`.`. 2018-12-14 21:02 0
hhkqqs 雪币： 13508 活跃值： (6924) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 43 关注私信	hhkqqs 1 3 楼多谢指教，看来确实如我所设想的，把TableEntry前8字节取出来，低3位清零得到PEPROCESS。顺便请教一下64位Win8.1的RefCnt、ObjectPointerBits分别是多少位呢，谢谢！ 2018-12-14 21:25 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼 e59K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7X3!0U0k6i4y4K6K9r3q4U0K9$3g2J5i4K6u0r3M7s2u0G2j5$3g2K6M7$3S2S2j5$3E0W2M7W2)9J5c8X3u0D9L8$3u0Q4x3V1j5J5j5X3t1%4x3e0S2X3x3K6k6S2y4K6l9J5k6X3c8W2y4X3y4T1x3K6b7$3k6e0V1I4y4K6V1$3z5e0k6T1j5U0S2U0y4K6f1^5k6o6q4X3i4K6u0r3d9#2m8J5L8$3y4W2M7%4y4t1j5h3y4C8k6i4u0Q4x3V1k6A6L8X3y4D9N6h3c8W2i4K6u0r3L8Y4c8X3K9h3I4D9i4K6u0W2K9q4)9J5x3@1H3I4y4o6R3`. 自己看 2018-12-15 11:21 0
hhkqqs 雪币： 13508 活跃值： (6924) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 43 关注私信	hhkqqs 1 5 楼这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所以想了解一下每个版本的objectpointerbits 最后于 2018-12-15 21:40 被hhkqqs编辑，原因： 2018-12-15 21:33 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 6 楼 hhkqqs 这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所 ... win8以后解码方式都一样的，自己找个有符号的ntosIDA一下 2018-12-18 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]64位Win7下HANDLE_TABLE_ENTRY关于PEPROCESS或PETHREAD的转换公式