Tesla.Angela
发表于 2014-9-24 10:08:26
WIN64公开教程小补充:两行代码阻止PCHUNTER运行
在NTOSKRNL.EXE的导出表,有一个叫做NtBuildNumber的变量,它记录的是系统的版本号,可以直接这么引用:extern PSHORT NtBuildNumber;
**** Hidden Message *****
__star__
发表于 2014-9-24 10:21:35
牛逼酷炫吊炸天有木有,
biiaidt
发表于 2014-9-24 11:17:14
太OP了,
cyycoish
发表于 2014-9-24 11:53:03
太厉害,不知道自己写的ark怎么防止这个办法,全局变量_osver是不是也是从ntoskernel的导出表里继承来的?
Tesla.Angela
发表于 2014-9-24 17:39:32
cyycoish 发表于 2014-9-24 11:53
太厉害,不知道自己写的ark怎么防止这个办法,全局变量_osver是不是也是从ntoskernel的导出表里继承来的? ...
读内核文件版本。代码已经发在WIN64公开区:http://www.vbasm.com/thread-7805-1-1.html
cyycoish
发表于 2014-9-24 19:03:58
Tesla.Angela 发表于 2014-9-24 17:39
读内核文件版本。代码已经发在WIN64公开区:http://www.vbasm.com/thread-7805-1-1.html ...
谢,老师
rice19
发表于 2014-9-25 00:25:19
膜拜
andylau004
发表于 2015-1-22 18:02:44
看看,,TA的思路。。。
bqrm_521
发表于 2015-1-22 18:03:46
看看
sanyoo
发表于 2015-1-22 20:36:57
看看是啥东西
jzy1115
发表于 2015-1-23 11:03:39
看看了。。。。
andylau004
发表于 2015-1-23 17:12:20
岂不是自家产品,也会受影响,,尤其是,已经安装过的旧产品。。。驱动都完蛋了
pangpang121626
发表于 2015-1-27 14:55:35
学习学习牛X的技术
mysmartid
发表于 2015-1-28 00:04:15
看看 学习!!
as3852711
发表于 2015-2-16 01:13:19
学习学习
Second
发表于 2015-3-5 13:24:16
5104278351042783
rebuilty
发表于 2015-3-5 13:38:34
回帖看看
wird0r
发表于 2015-3-6 13:07:52
回帖学习下
wird0r
发表于 2015-3-6 13:08:53
R0 下果然猥琐....
Thinkpador
发表于 2015-3-6 21:31:23
这么神奇,借鉴借鉴
bboyiori
发表于 2015-3-24 16:49:52
方法不通用
xiaomo
发表于 2015-4-9 22:11:49
000000000
陌路人
发表于 2015-4-9 22:35:53
谢谢楼主分享
wonderzdh
发表于 2015-5-3 12:44:09
这个略掉,学习一下~
laomaotx
发表于 2015-5-3 17:04:44
辣么厉害!!!!!
Archar
发表于 2015-5-4 10:12:21
怎么阻止呢?使用特征吗?我要看一看
irooky
发表于 2015-5-7 08:11:39
学习中...
donydh
发表于 2015-5-7 21:05:03
拜摸一下!!!!!!!
upring
发表于 2015-5-11 18:36:24
高人必须支持
我最亲爱的说
发表于 2015-5-11 20:00:54
看看是啥东西
likaisqsq
发表于 2015-5-13 08:18:29
看看学习学习
lanjingling888
发表于 2015-5-19 11:30:37
看看什么代码