a33287651 发表于 2010-9-12 08:13:52

a33287651 发表于 2010-9-12 08:35:09

Tesla.Angela 发表于 2010-9-12 09:52:41

汗。。。
我的意思是说,我采用了随机窗口名和随机类名,你有什么证据说那是我的窗口。。。

Tesla.Angela 发表于 2010-9-12 10:16:27

另外你说关于找未导出函数的,不也很简单嘛。。。
举个例子

nt!KeInsertQueueApc+0x3b:
804fd4c5 8b450c          mov   eax,dword ptr
804fd4c8 8b5514          mov   edx,dword ptr
804fd4cb 894724          mov   dword ptr ,eax
804fd4ce 8b4510          mov   eax,dword ptr
804fd4d1 8bcf            mov   ecx,edi
804fd4d3 894728          mov   dword ptr ,eax
804fd4d6 e8dd340000      call    nt!KiInsertQueueApc (805009b8)
804fd4db 8ad8            mov   bl,al

地址是804fd4d6
指令是e8dd340000
那么你在VB里输入这段代码:

Print Hex$(&H804FD4D6 + &H34DD + 5)

看看结果是不是805009b8。

Tesla.Angela 发表于 2010-9-12 10:20:06

e8就是call
这个不解释
你知道34dd是这么来的吗?
因为:e8dd340000
所以反过来写&H000034dd
VB会自动吃掉前面的四个零

Tesla.Angela 发表于 2010-9-12 10:22:34

对比了XP、2K3、VISTA、WIN7四个系统,发现每个系统的KeInsertQueueApc都有这两句:

804fd4d3 894728          mov   dword ptr ,eax
804fd4d6 e8dd340000      call    nt!KiInsertQueueApc (805009b8)

所以我说定位KiInsertQueueApc的特征码是28 e8

a33287651 发表于 2010-9-12 13:30:41

a33287651 发表于 2010-9-12 13:35:38

Tesla.Angela 发表于 2010-9-12 15:38:00

回复 7# a33287651


    人肉判断。。。:L

kk1025 发表于 2013-4-10 18:05:12

飄過!

jzy1115 发表于 2013-8-31 19:18:40

Tesla.Angela 发表于 2010-9-12 10:22 static/image/common/back.gif
对比了XP、2K3、VISTA、WIN7四个系统,发现每个系统的KeInsertQueueApc都有这两句:

所以我说定位KiInsert ...

太短了吧,不怕定位错了?
页: [1]
查看完整版本: Easily Bypass TaKillMe