[求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[未解决，已结帖] [求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？ 100.00雪花

发表于: 2021-6-24 12:03 4110

[未解决，已结帖] [求助]有人知道这个是什么吗？能不能帮助更新到现在的最新版本？ 100.00雪花

大鲤鱼

2021-6-24 12:03

4110

static void init_win10()
{
    name = 0x450;
    pid = 0x2E0;
    base = 0x3C0;
    link = 0x2E8;
    protection = 0x6B2;
    flags2 = 0x300;
    objecttable = 0x418;
    vadroot = 0x610;
 
    RTL_OSVERSIONINFOW osVersion;
    RtlGetVersion(&osVersion);
    if (osVersion.dwBuildNumber == 10586)
    {
        protection = 0x6B2;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x610;
    }
    else if (osVersion.dwBuildNumber == 14393)
    {
        protection = 0x6C2;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x620;
    }
    else if (osVersion.dwBuildNumber == 15063)
    {
        protection = 0x6CA;
        flags2 = 0x300;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 16299)
    {
        protection = 0x6CA;
        flags2 = 0x828;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 17134)
    {
        protection = 0x6CA;
        flags2 = 0x828;
        objecttable = 0x418;
        vadroot = 0x628;
    }
    else if (osVersion.dwBuildNumber == 17763)
    {
        protection = 0x6CA;
        flags2 = 0x820;
        objecttable = 0x418;
        vadroot = 0x628;
    }
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・1

支持

最新回复 (10)
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 2 楼 static void init_win7() { name = 0x2D8; pid = 0x180; base = 0x270; link = 0x188; protection = 0x43C; flags2 = 0; objecttable = 0x200; vadroot = 0x448; } 源代码太长了，是关于进程保护的。驱动我只会输出helloworld，所以求助大家了！ 2021-6-24 13:07 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 3 楼找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了上传的附件： ntoskrnl.exe1809.h （2.64MB，2次下载） win10 19041.h （2.78MB，2次下载） 2021-6-24 13:50 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 4 楼 ookkaa 找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了找不到…… 2021-6-24 14:40 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼 bacK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1$3i4K6V1^5i4@1q4r3i4K6t1$3L8X3u0K6M7q4)9K6b7Y4N6A6L8U0N6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1@1i4@1u0p5i4K6R3$3i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4@1p5#2i4@1u0p5i4@1f1#2i4K6R3K6i4K6S2r3i4@1f1&6i4K6R3K6i4@1p5^5i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1^5i4@1t1%4i4K6W2r3i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1%4i4@1p5H3i4K6R3I4i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1$3i4@1p5H3i4@1t1%4i4@1g2r3i4@1u0o6i4K6S2o6N6$3W2F1x3e0m8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0g2Q4z5o6S2Q4b7U0l9`. 2021-6-24 14:53 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 6 楼大鲤鱼 4ecK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到我不是发你了两个文件，直接记事本打开CTRL+F 2021-6-24 16:02 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 7 楼大鲤鱼 1fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 2021-6-24 16:03 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 ookkaa /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 19041的，我刚才装了下虚拟机，测试生效了。但是你的另一份：1809对应的17736，源代码里面已经有了哈。缺少1903 1909 20H2 21H1，这几个你有吗？ 2021-6-24 16:19 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 9 楼没有，你自己都下一遍虚拟机，要么github搜一下 2021-6-24 18:34 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 ookkaa 没有，你自己都下一遍虚拟机，要么github搜一下网速好慢啊……装个虚拟机老半天。网上应该有人总结这个才好…… 2021-6-24 18:57 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 11 楼我已经自己安装虚拟机，把剩下的4个版本代码都找出来了。 2021-6-24 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大鲤鱼

发帖

125

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 2 楼 static void init_win7() { name = 0x2D8; pid = 0x180; base = 0x270; link = 0x188; protection = 0x43C; flags2 = 0; objecttable = 0x200; vadroot = 0x448; } 源代码太长了，是关于进程保护的。驱动我只会输出helloworld，所以求助大家了！ 2021-6-24 13:07 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 3 楼找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了上传的附件： ntoskrnl.exe1809.h （2.64MB，2次下载） win10 19041.h （2.78MB，2次下载） 2021-6-24 13:50 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 4 楼 ookkaa 找相应版本的内核文件，下载PDB然后用PDB分析工具转成头文件，然后CTRL+F，找具体的偏移就行了找不到…… 2021-6-24 14:40 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 5 楼 bacK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1$3i4K6V1^5i4@1q4r3i4K6t1$3L8X3u0K6M7q4)9K6b7Y4N6A6L8U0N6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1@1i4@1u0p5i4K6R3$3i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4@1p5#2i4@1u0p5i4@1f1#2i4K6R3K6i4K6S2r3i4@1f1&6i4K6R3K6i4@1p5^5i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1^5i4@1t1%4i4K6W2r3i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1%4i4@1p5H3i4K6R3I4i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1$3i4@1p5H3i4@1t1%4i4@1g2r3i4@1u0o6i4K6S2o6N6$3W2F1x3e0m8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0g2Q4z5o6S2Q4b7U0l9`. 2021-6-24 14:53 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 6 楼大鲤鱼 4ecK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到我不是发你了两个文件，直接记事本打开CTRL+F 2021-6-24 16:02 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 7 楼大鲤鱼 1fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0k6W2y4o6j5@1x3K6p5K6x3o6p5H3x3h3x3J5x3Y4y4Q4x3X3g2Z5N6r3#2D9 这个是 win7的但是好像部分跟源码里面的不一样，win10的我找不到 /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 2021-6-24 16:03 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 ookkaa /0x418/ struct _HANDLE_TABLE* ObjectTable; 这不是很简单吗 19041的，我刚才装了下虚拟机，测试生效了。但是你的另一份：1809对应的17736，源代码里面已经有了哈。缺少1903 1909 20H2 21H1，这几个你有吗？ 2021-6-24 16:19 0
ookkaa 雪币： 246 活跃值： (4577) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 9 楼没有，你自己都下一遍虚拟机，要么github搜一下 2021-6-24 18:34 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 ookkaa 没有，你自己都下一遍虚拟机，要么github搜一下网速好慢啊……装个虚拟机老半天。网上应该有人总结这个才好…… 2021-6-24 18:57 0
大鲤鱼雪币： 6566 活跃值： (4097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 11 楼我已经自己安装虚拟机，把剩下的4个版本代码都找出来了。 2021-6-24 21:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复