-
-
[求助]谁能帮我看看这段delphi代码,是CE的代码。
-
发表于: 2008-4-30 15:36
-
我最近在读CE的代码,CE的RING3部分用delphi写的。但我没用过delphi,所以有些代码看不懂。
CE中有个小程序是获取系统信息,然后写入当前目录下的 kerneldata.dat 文件。运行后如图显示:
显示了几个 SHADOW SSDT 服务的调用号,还有几个内部结构的偏移地址。我看不懂是怎么得出来的。代码我传到附件中了。谁能帮我看看?或者,这些信息是如何在RING3下获取的呢,告诉我原理也成啊。
我恨delphi
这事真的挺烦,因为我在做UCE,就是可以bypass NP 的 CE。CE的驱动很好修改。但是我不打算使用CE的Ring3部分。需要自己初始化驱动,上面的获取系统信息的代码,就是驱动初始化的部分, 驱动需要这些系统信息实现ProtectMe。
请大侠出手相救!日后必有酬谢
CE中有个小程序是获取系统信息,然后写入当前目录下的 kerneldata.dat 文件。运行后如图显示:
显示了几个 SHADOW SSDT 服务的调用号,还有几个内部结构的偏移地址。我看不懂是怎么得出来的。代码我传到附件中了。谁能帮我看看?或者,这些信息是如何在RING3下获取的呢,告诉我原理也成啊。
我恨delphi
这事真的挺烦,因为我在做UCE,就是可以bypass NP 的 CE。CE的驱动很好修改。但是我不打算使用CE的Ring3部分。需要自己初始化驱动,上面的获取系统信息的代码,就是驱动初始化的部分, 驱动需要这些系统信息实现ProtectMe。
请大侠出手相救!日后必有酬谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
CE的驱动需要HOOK 图中涉及的 几个SSDT服务
使用activelinkoffset 等偏移量进行 KDOM 摘链隐藏。 大侠们出来发表下意见哈如果我的CE 无法做到这些,那功能可就打了个大折扣 |
|
|
|
|
|
|
|
|
|
|
|
 晕,我的问题呢?
|
|
|
不打算用R3部分,那还不如重新写驱动吧!
CE的驱动比R3部分简单多了 
|
|
|
|
|
|
|
|
|
|
|
|
|
