首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]关于内核函数
发表于: 2008-8-16 21:56 3945

[讨论]关于内核函数

yulewanglu 活跃值
2008-8-16 21:56
3945
PsLookupProces**yProcessId象这样的内核函数 在ntdll里有没对应的  我想的ntdll里调用这些函数 但是 在ntdll.h里找不到 这些东西 不知道是不是有对应的函数 免的我写驱动

写了某些流氓也不让加载  所以我想直接调用ntdll里的这些函数 不知道可以不?

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (3)
TGOS
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
PsXXX 这样的东西要到     ntoskrnl.exe | ntkrnlpa.exe 里面的

加载驱动除了 NtLoadDriver

还可以用: NtSetSystemInformation 用这个基本不会被拦
2008-8-16 23:49
0
langouster
雪    币: 212
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
ms在ring3下能通过自己编程实现。
通过
NtQueryInformationProcess    Proces**asicInformation
得到PEB
2008-8-16 23:56
0
TGOS
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
得自己的 PEB 几句汇编就得了

你说流氓不让你加载驱动,难道他就不在内核过滤掉一些对他不利的信息?

````````驱动很方便很强大
2008-8-17 00:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回