[转帖]在WIN10 19041下继续欢快的infinityhook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[转帖]在WIN10 19041下继续欢快的infinityhook

发表于: 2020-5-26 17:46 14800

[转帖]在WIN10 19041下继续欢快的infinityhook

wowocock

2020-5-26 17:46

14800

ef3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4q4#2j5h3&6C8k6g2)9J5k6h3y4G2L8g2)9J5c8Y4m8G2M7%4c8Q4x3V1k6A6k6q4)9J5c8U0t1H3y4U0t1^5z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0n7y4g2)9^5b7W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2!0m8x3g2!0m8c8g2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0m8y4q4!0m8y4#2!0q4y4g2!0m8c8g2!0n7y4W2!0q4y4g2)9^5c8W2)9^5z5q4!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4W2!0m8b7#2!0m8x3W2!0q4y4g2!0n7c8W2!0m8b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9^5b7g2)9^5y4q4!0q4z5q4!0m8x3W2!0m8c8q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5g2)9&6c8q4)9&6z5g2!0q4y4#2!0m8c8q4)9^5z5g2!0q4y4g2!0n7c8g2!0m8c8g2!0q4z5q4!0n7c8q4!0m8c8W2!0q4y4#2!0n7b7W2!0m8y4#2!0q4y4#2!0n7b7W2!0m8c8q4!0q4y4g2)9&6x3W2)9^5b7#2!0q4z5q4!0n7x3q4)9&6x3q4!0q4y4g2)9&6x3q4!0m8y4#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

INF19041.jpg （199.04kb，5次下载）
19041.jpg （192.88kb，4次下载）

收藏・14

免费・5

支持

最新回复 (36) 1 2 ▶
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 2 楼然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得更严密了.动不动就给你一个System Thread Exception 2020-5-26 18:34 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 3 楼 flarejune 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得 ... 2004就是19041.... System Thread Exception 是自己的问题... 2020-5-26 18:54 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 4 楼 syser 2004就是19041.... System Thread Exception 是自己的问题... 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附加,一律给你System Thread Exception. 2020-5-26 19:04 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 5 楼 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 还是自己问题可以放DUMP上来 2020-5-26 19:06 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 6 楼 DUMP个蛋啊,你自己调用KeAttachProcess一次不就知道了. 2020-5-26 19:15 0
chenjialei 雪币： 3 活跃值： (2564) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	chenjialei 7 楼好像不能多函数hook 卸载也有问题重新钩无效 2020-5-26 20:25 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 8 楼 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 自己的问题，实测19587无任何问题，比19041还高最后于 2020-5-26 21:19 被hzqst编辑，原因： 2020-5-26 21:19 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 9 楼巨硬都被你们气炸了 2020-5-26 21:50 0
HadesW 雪币： 9219 活跃值： (1916) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 88 关注私信	HadesW 2 10 楼好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 2020-5-26 22:33 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 11 楼 HadesW 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 那个老外的有问题，有人给他改了一下，fin 2020-5-26 23:19 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 12 楼 hzqst flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前 ... #include <ntifs.h> typedef struct _KPROCESS { CHAR _pad0[0x2e8]; ULONG UniqueProcessId; LIST_ENTRY ActiveProcessLinks; CHAR _pad1[0x150]; CHAR ImageFileName[15]; CHAR _pad2[0x39]; UINT32 ActiveThreads; } EPROCESS; LONG GetProcessIdByName(const char* processName) { auto* const startProcess = PsGetCurrentProcess(); auto* currentProcess = startProcess; do { if (!currentProcess->ActiveThreads) continue; STRING currentName; RtlInitString(&currentName, (PCSZ)currentProcess->ImageFileName); if (_stricmp(processName, currentProcess->ImageFileName) == 0) return currentProcess->UniqueProcessId; } while ((currentProcess = CONTAINING_RECORD(currentProcess->ActiveProcessLinks.Flink, EPROCESS, ActiveProcessLinks)) != startProcess); return 0; } extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT , IN PUNICODE_STRING ) { const auto explorerPid = GetProcessIdByName("winlogon.exe"); if (explorerPid != 0) { PEPROCESS EProcess = nullptr; if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)explorerPid, &EProcess))) { //win10 2004 (19041+)必定蓝屏:System Thread Exception Not Handle,19041之前的系统可以正常 KeAttachProcess(EProcess); KeDetachProcess(); } } return STATUS_SUCCESS; } 2020-5-27 14:52 0
netsd 雪币： 45 活跃值： (93) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 26 粉丝 3 关注私信	netsd 13 楼膜拜大肉基。 2020-5-27 15:08 0
xiaohucode 雪币： 19 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	xiaohucode 14 楼插眼！膜拜大佬最后于 2020-5-27 15:45 被xiaohucode编辑，原因： 1 2020-5-27 15:44 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 15 楼 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 本地测了下，没问题。 2020-5-27 16:16 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 16 楼 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 微软都不让用这个api了 2020-5-27 16:56 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 17 楼 wowocock 本地测了下，没问题。那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需AttachProcess了,你本身已经是附加到进程去的了. 2020-5-27 17:28 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 18 楼 hzqst 微软都不让用这个api了正解,新版的WIN10,加入了更多的限制. 2020-5-27 17:30 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 19 楼 flarejune 那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需Attac ... 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。 2020-5-27 18:25 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 20 楼 wowocock 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 2020-5-27 19:12 0
tmflxw 雪币： 2177 活跃值： (4122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 120 粉丝 20 关注私信	tmflxw 21 楼 flarejune 绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试 2020-5-27 20:21 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 22 楼 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试当时发现KeAttachProcess不给使用的时候,马上就测试了KeStackAttachProcess,一样不可以了的. 我知道是微软禁止使用了,但是楼主说测试正常使用,我就懵逼了,我严重怀疑他的2004是之前的那个预览版,但是编译号却是19041, 真的蛋疼 2020-5-27 21:38 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 23 楼 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试现在要获取SSDSHADOW,可以使用倒推的方式计算出来,在infinityhook里面判断CallNumber,发现大于0x1000的,就是UserCall,根据CallNumber和当前的FunctionAddress倒推可以推到SSDShadow的表头. 2020-5-27 21:40 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 24 楼 lytywg 巨硬都被你们气炸了[em_19] 最后的结果就是进PG或者承认其存在----打不过就加入 2020-5-31 15:22 0
看穿了说不得雪币： 132 活跃值： (35) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 25 楼打不过就加入,这是不要脸,魔鬼的法,当心啊. 2020-6-15 08:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wowocock

发帖

298

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 2 楼然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得更严密了.动不动就给你一个System Thread Exception 2020-5-26 18:34 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 3 楼 flarejune 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得 ... 2004就是19041.... System Thread Exception 是自己的问题... 2020-5-26 18:54 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 4 楼 syser 2004就是19041.... System Thread Exception 是自己的问题... 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附加,一律给你System Thread Exception. 2020-5-26 19:04 0
syser 雪币： 4516 活跃值： (5836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 240 粉丝 9 关注私信	syser 5 楼 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 还是自己问题可以放DUMP上来 2020-5-26 19:06 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 6 楼 DUMP个蛋啊,你自己调用KeAttachProcess一次不就知道了. 2020-5-26 19:15 0
chenjialei 雪币： 3 活跃值： (2564) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	chenjialei 7 楼好像不能多函数hook 卸载也有问题重新钩无效 2020-5-26 20:25 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 8 楼 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 自己的问题，实测19587无任何问题，比19041还高最后于 2020-5-26 21:19 被hzqst编辑，原因： 2020-5-26 21:19 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 9 楼巨硬都被你们气炸了 2020-5-26 21:50 0
HadesW 雪币： 9219 活跃值： (1916) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 88 关注私信	HadesW 2 10 楼好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 2020-5-26 22:33 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 11 楼 HadesW 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 那个老外的有问题，有人给他改了一下，fin 2020-5-26 23:19 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 12 楼 hzqst flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前 ... #include <ntifs.h> typedef struct _KPROCESS { CHAR _pad0[0x2e8]; ULONG UniqueProcessId; LIST_ENTRY ActiveProcessLinks; CHAR _pad1[0x150]; CHAR ImageFileName[15]; CHAR _pad2[0x39]; UINT32 ActiveThreads; } EPROCESS; LONG GetProcessIdByName(const char* processName) { auto* const startProcess = PsGetCurrentProcess(); auto* currentProcess = startProcess; do { if (!currentProcess->ActiveThreads) continue; STRING currentName; RtlInitString(&currentName, (PCSZ)currentProcess->ImageFileName); if (_stricmp(processName, currentProcess->ImageFileName) == 0) return currentProcess->UniqueProcessId; } while ((currentProcess = CONTAINING_RECORD(currentProcess->ActiveProcessLinks.Flink, EPROCESS, ActiveProcessLinks)) != startProcess); return 0; } extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT , IN PUNICODE_STRING ) { const auto explorerPid = GetProcessIdByName("winlogon.exe"); if (explorerPid != 0) { PEPROCESS EProcess = nullptr; if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)explorerPid, &EProcess))) { //win10 2004 (19041+)必定蓝屏:System Thread Exception Not Handle,19041之前的系统可以正常 KeAttachProcess(EProcess); KeDetachProcess(); } } return STATUS_SUCCESS; } 2020-5-27 14:52 0
netsd 雪币： 45 活跃值： (93) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 26 粉丝 3 关注私信	netsd 13 楼膜拜大肉基。 2020-5-27 15:08 0
xiaohucode 雪币： 19 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	xiaohucode 14 楼插眼！膜拜大佬最后于 2020-5-27 15:45 被xiaohucode编辑，原因： 1 2020-5-27 15:44 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 15 楼 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 本地测了下，没问题。 2020-5-27 16:16 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 16 楼 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 微软都不让用这个api了 2020-5-27 16:56 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 17 楼 wowocock 本地测了下，没问题。那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需AttachProcess了,你本身已经是附加到进程去的了. 2020-5-27 17:28 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 18 楼 hzqst 微软都不让用这个api了正解,新版的WIN10,加入了更多的限制. 2020-5-27 17:30 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 19 楼 flarejune 那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需Attac ... 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。 2020-5-27 18:25 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 20 楼 wowocock 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 2020-5-27 19:12 0
tmflxw 雪币： 2177 活跃值： (4122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 120 粉丝 20 关注私信	tmflxw 21 楼 flarejune 绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试 2020-5-27 20:21 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 22 楼 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试当时发现KeAttachProcess不给使用的时候,马上就测试了KeStackAttachProcess,一样不可以了的. 我知道是微软禁止使用了,但是楼主说测试正常使用,我就懵逼了,我严重怀疑他的2004是之前的那个预览版,但是编译号却是19041, 真的蛋疼 2020-5-27 21:38 0
flarejune 雪币： 688 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 23 楼 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试现在要获取SSDSHADOW,可以使用倒推的方式计算出来,在infinityhook里面判断CallNumber,发现大于0x1000的,就是UserCall,根据CallNumber和当前的FunctionAddress倒推可以推到SSDShadow的表头. 2020-5-27 21:40 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 24 楼 lytywg 巨硬都被你们气炸了[em_19] 最后的结果就是进PG或者承认其存在----打不过就加入 2020-5-31 15:22 0
看穿了说不得雪币： 132 活跃值： (35) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 25 楼打不过就加入,这是不要脸,魔鬼的法,当心啊. 2020-6-15 08:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复