[分享]个人优化版的GetKeServiceDescriptorTable64-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 2 楼你这个内存搜索不能带通配符, 给你一个带通配的。 int CSearchMem::SearchAddress(int inStartAddr, int inSize, const byte* pOpCode, int inOpSize, bool bDirection, int inOffset) { int inRet = 0; try { if ((0 == inStartAddr) \|\| (inSize <= 0) \|\| (NULL == pOpCode) \|\| (NULL == inOpSize)) { return inRet; } int inFindCount = 0; byte* pData = (byte)inStartAddr; for (int i = 0; i < inSize; i++, pData++) { const byte pOpData = pOpCode; for (int j = 0; j < inOpSize; j++, pOpData++) { while (0xFF == pOpData) { inFindCount++; i++; pData++; j++; pOpData++; } if (pData == pOpData) { inFindCount++; i++; pData++; } else { inFindCount = 0; break; } } if (inFindCount == inOpSize) { break; } } if (inFindCount == inOpSize) { inRet = (int)pData - inFindCount; if (bDirection) { inRet = inRet + inOffset; } else { inRet = inRet - inOffset; } } } catch (...) { inRet = 0; } return inRet; } char chOpCode[] = "\x6A\x04\x8D\x86\x5C\x01\xFF\xFF\x50\x6A\x04\x68"; dwRet = SearchAddress(dwModuleBase, dwModuleSize, (const byte)chOpCode, ::strlen(chOpCode), true, 0x13); 2019-4-11 16:07 0
StriveXjun 雪币： 1044 活跃值： (1385) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 3 楼 727K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0M7X3g2^5L8$3c8A6j5g2)9J5c8W2c8A6N6r3q4F1d9r3W2V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6f1K9i4c8S2L8V1S2A6k6r3g2Q4x3V1k6K6M7$3c8@1i4K6u0W2j5%4m8H3i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 一直用的这个SSDT的找法，到目前最新的win10 1809系统也没发现什么问题 2019-4-11 20:40 1
游乐娃子雪币： 8397 活跃值： (6323) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 4 楼 yimingqpa 你这个内存搜索不能带通配符, 给你一个带通配的。 int CSearchMem::SearchAddress(int inStartAddr,  ... 通配符有个很尴尬的问题,万一通配符就是特征呢? 2019-4-12 19:03 0
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 5 楼 lononan 通配符有个很尴尬的问题,万一通配符就是特征呢? 不影响啊. 2019-4-12 21:55 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 6 楼 61cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0M7X3g2^5L8$3c8A6j5g2)9J5c8W2c8A6N6r3q4F1d9r3W2V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6f1K9i4c8S2L8V1S2A6k6r3g2Q4x3V1k6K6M7$3c8@1i4K6u0W2j5%4m8H3i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. +10086 2019-5-19 14:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yimingqpa

雪币： 7187

活跃值： (5186)

能力值：

( LV10，RANK：163 )

在线值：

发帖

35

回帖

499

粉丝

58

关注

私信

yimingqpa 1: 2 楼

你这个内存搜索不能带通配符, 给你一个带通配的。

int CSearchMem::SearchAddress(int inStartAddr, int inSize, const byte* pOpCode, int inOpSize, bool bDirection, int inOffset)
{
	int inRet = 0;

	try
	{
		if ((0 == inStartAddr) || (inSize <= 0) || (NULL == pOpCode) || (NULL == inOpSize))
		{
			return inRet;
		}

		int inFindCount = 0;
		byte* pData = (byte*)inStartAddr;

		for (int i = 0; i < inSize; i++, pData++)
		{
			const byte* pOpData = pOpCode;

			for (int j = 0; j < inOpSize; j++, pOpData++)
			{
				while (0xFF == *pOpData)
				{
					inFindCount++;

					i++;
					pData++;

					j++;
					pOpData++;
				}

				if (*pData == *pOpData)
				{
					inFindCount++;

					i++;
					pData++;
				}
				else
				{
					inFindCount = 0;
					break;
				}
			}

			if (inFindCount == inOpSize)
			{
				break;
			}
		}

		if (inFindCount == inOpSize)
		{
			inRet = (int)pData - inFindCount;

			if (bDirection)
			{
				inRet = inRet + inOffset;
			}
			else
			{
				inRet = inRet - inOffset;
			}
		}
	}
	catch (...)
	{
		inRet = 0;
	}

	return inRet;
}



char chOpCode[] = "\x6A\x04\x8D\x86\x5C\x01\xFF\xFF\x50\x6A\x04\x68";

dwRet = SearchAddress(dwModuleBase, dwModuleSize, (const byte*)chOpCode, ::strlen(chOpCode), true, 0x13);

2019-4-11 16:07

0

StriveXjun

雪币： 1044

活跃值： (1385)

能力值：

( LV3，RANK：35 )

在线值：

发帖

4

回帖

214

粉丝

74

关注

私信

StriveXjun: 3 楼

727K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0M7X3g2^5L8$3c8A6j5g2)9J5c8W2c8A6N6r3q4F1d9r3W2V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6f1K9i4c8S2L8V1S2A6k6r3g2Q4x3V1k6K6M7$3c8@1i4K6u0W2j5%4m8H3i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.
一直用的这个SSDT的找法，到目前最新的win10 1809系统也没发现什么问题

2019-4-11 20:40

1

游乐娃子

雪币： 8397

活跃值： (6323)

能力值：

( LV4，RANK：50 )

在线值：

发帖

36

回帖

252

粉丝

64

关注

私信

游乐娃子: 4 楼

yimingqpa 你这个内存搜索不能带通配符, 给你一个带通配的。 int CSearchMem::SearchAddress(int inStartAddr,  ...

通配符有个很尴尬的问题,万一通配符就是特征呢?

2019-4-12 19:03

0

yimingqpa

雪币： 7187

活跃值： (5186)

能力值：

( LV10，RANK：163 )

在线值：

发帖

35

回帖

499

粉丝

58

关注

私信

yimingqpa 1: 5 楼

lononan 通配符有个很尴尬的问题,万一通配符就是特征呢?

不影响啊.

2019-4-12 21:55

0

黑洛

雪币： 6129

活跃值： (4971)

能力值：

( LV6，RANK：80 )

在线值：

发帖

8

回帖

568

粉丝

80

关注

私信

黑洛 1: 6 楼

61cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0M7X3g2^5L8$3c8A6j5g2)9J5c8W2c8A6N6r3q4F1d9r3W2V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6f1K9i4c8S2L8V1S2A6k6r3g2Q4x3V1k6K6M7$3c8@1i4K6u0W2j5%4m8H3i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.
+10086

2019-5-19 14:15

0