能力值:
( LV12,RANK:600 )
|
-
-
2 楼
ZwUnmapViewOfSection
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
3Q!
我没弄过驱动,
如何在ring3下调用这个API呢?
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
FARPROC ZwUnmapViewOfSectionAddr=GetProcAddress(GetModuleHandle("ntdll.dll"),"ZwUnmapViewOfSection");
__asm{
push rp.hModule;
push pi.hProcess;
call ZwUnmapViewOfSectionAddr;
}
这样改过后解决了,原来是我弄错了.谢谢!
|
能力值:
( LV8,RANK:130 )
|
-
-
5 楼
是的
扫描出了基址就能ZwUnmapViewOfSection了。
那个隐藏不完整。。仅仅是抹掉了DLL的名字,让IceSword检测不出。。。
卸载还是没问题的。
PS:似乎那个链接的仅仅是抹掉了PEB而已。。。ZwQueryVirtualMemory还是能扫描出路径的。。
|
能力值:
( LV12,RANK:600 )
|
-
-
6 楼
没断链就PEB好了....
隐藏DLL最好是断链+抹_FILE_OBJECT+抹PE相关字符串
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有没有隐藏DLL的程序啊?
麻烦各位老大给提供一个
先谢谢了
|
|
|
|
