首页
论坛
课程
招聘
[讨论]Zw*
2022-6-29 10:19 6545

[讨论]Zw*

2022-6-29 10:19
6545

记号,驱动中手动从SSDT中获取Zw*系列函数然后调用不会自动将previousmode转为kernelmode


看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

最后于 2022-6-30 16:54 被kanxue编辑 ,原因:
收藏
点赞2
打赏
分享
最新回复 (8)
雪    币: 3
活跃值: 活跃值 (1708)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
咖啡_741298 活跃值 2022-6-29 18:45
2
0
SSDT中获取的是Nt??????函数
雪    币: 31
活跃值: 活跃值 (140)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MaMy 活跃值 2022-7-3 13:57
3
0

ExGetPreviousMode ->搜特征码定位,然后手动切就是了

*(PsGetCurrentThread() + prev_mode_offset)=KernelMode

完事

最后于 2022-7-3 13:58 被MaMy编辑 ,原因:
雪    币: 134
活跃值: 活跃值 (5351)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
Golden_Boy 活跃值 2022-7-3 17:03
4
0
MaMy ExGetPreviousMode ->搜特征码定位,然后手动切就是了*(PsGetCurrentThread() + prev_mode_offset)=Kernel ...
ExGetPreviousMode win10没有导出,特征码定位不同版本系统不一样,稳定性有待确认
雪    币: 24
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
DreamForest 活跃值 2022-8-28 15:46
5
0
Golden_Boy ExGetPreviousMode win10没有导出,特征码定位不同版本系统不一样,稳定性有待确认
你确定WIN10没有导出???Are you kidding me ?
雪    币: 24
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
DreamForest 活跃值 2022-8-28 15:48
6
0
Golden_Boy ExGetPreviousMode win10没有导出,特征码定位不同版本系统不一样,稳定性有待确认

雪    币: 134
活跃值: 活跃值 (5351)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
Golden_Boy 活跃值 2022-8-28 19:38
7
0
DreamForest
你是哪个版本,所有win10都导出了?
雪    币: 47
活跃值: 活跃值 (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gstfi 活跃值 2022-8-29 05:24
8
0
Golden_Boy 你是哪个版本,所有win10都导出了?
https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-exgetpreviousmode

这个函数的话文档上说是2k开始有的
雪    币: 134
活跃值: 活跃值 (5351)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
Golden_Boy 活跃值 2022-8-29 16:36
9
0
gstfi https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-exgetpreviousmode 这个函数的话 ...
游客
登录 | 注册 方可回帖
返回