当前位置: 首页 > news >正文

高稳定性的网站设计制作比稿网站

news 2026/1/13 23:16:43
高稳定性的网站设计制作,比稿网站,域名注册官网免费,做网站搜索如何显示官网http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17 简单说#xff0c;即调用第11号功能#xff0c;枚举一下内核中已加载的模块。部分代码如下#xff1a;//功能号为11#xff0c;先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NUL… http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17 简单说即调用第11号功能枚举一下内核中已加载的模块。部分代码如下//功能号为11先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,needlen);//申请内存ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)pBuf,0,needlen,MEM_COMMIT,PAGE_READWRITE);//再次调用ZwQuerySystemInformation(SystemModuleInformation,(PVOID)pBuf,truelen,needlen);......//最后释放内存ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)pBuf,needlen,MEM_RELEASE);突出过程省略了错误判断和调用其它的功能时操作并没有什么区别。关键在返回的内容中缓冲区pBuf的前四个字节是已加载的模块总数记为ModuleCnt,接下来就是共有ModuleCnt个元素的模块信息数组了。该结构如下typedef struct _SYSTEM_MODULE_INFORMATION {ULONG Count;SYSTEM_MODULE_INFORMATION_ENTRY Module[1];} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;模块详细信息结构如下typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {HANDLE Section;PVOID MappedBase;PVOID Base;ULONG Size;ULONG Flags;USHORT LoadOrderIndex;USHORT InitOrderIndex;USHORT LoadCount;USHORT PathLength;CHAR ImageName[256];} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;一个for循环循环ModuleCnt次就OK了。基于此写了三个简单的函数。void ShowAllModules(char *pBuf){//函数功能输出所有模块信息//参数pBufZwQuerySystemInformation返回的缓冲区首址PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;DWORD Modcnt0;Modcnt*(DWORD*)pBuf;pSysModuleInfo(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBufsizeof(DWORD));for (DWORD i0;iModcnt;i){   printf(%d\t0x%08X 0x%08X %s\n,pSysModuleInfo-LoadOrderIndex,pSysModuleInfo-Base,pSysModuleInfo-Size,pSysModuleInfo-ImageName);   pSysModuleInfo;} }void GetOSKrnlInfo(char *pBuf,DWORD *KernelBase,char *szKrnlPath){//函数功能返回系统内核(ntoskrnl.exe或ntkrnlpa.exe)的基址和路径//参数pBufZwQuerySystemInformation返回的缓冲区首址//参数KernelBase接收返回的系统内核的基址//参数szKrnlPath接收返回的内核文件的路径PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;DWORD Modcnt0;*KernelBase0;Modcnt*(DWORD*)pBuf;pSysModuleInfo(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBufsizeof(DWORD));//其实第一个模块就是了还是验证一下吧if (strstr((strlwr(pSysModuleInfo-ImageName),pSysModuleInfo-ImageName),nt)){   *KernelBase(DWORD)pSysModuleInfo-Base;   GetSystemDirectory(szKrnlPath,MAX_PATH);   lstrcat(szKrnlPath,strrchr(pSysModuleInfo-ImageName,\\));}} void DetectModule(char *pBuf,DWORD dwAddress,char *ModulePath){//函数功能找出给定地址所在的模块//参数pBuf缓冲区地址同上//参数dwAddress要查询的内核地址//参数ModulePath接收返回的模块路径PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;DWORD Modcnt0;Modcnt*(DWORD*)pBuf;pSysModuleInfo(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBufsizeof(DWORD));for (DWORD i0;iModcnt;i){   if ((dwAddress(DWORD)pSysModuleInfo-Base)(dwAddress(DWORD)pSysModuleInfo-BasepSysModuleInfo-Size))   {    lstrcpy(ModulePath,pSysModuleInfo-ImageName);   }   pSysModuleInfo;}} 该功能是通过遍历PsLoadedModuleList实现的所以要隐藏的话最简单的方法还是断链~~更高级的方法比如抹DriveObject抹PE信息等等以后再玩~ 转载于:https://www.cnblogs.com/himessage/archive/2013/01/22/2872032.html
http://www.yutouwan.com/news/449196/

相关文章:

  • 社保网站做员工用工备案吗做网站公司促销海报
  • 做网站哪里买空间好大兴区企业网站建设
  • 台州seo网站排名优化茶叶网站开发目的和意义
  • 网络营销公司组织架构一个新网站怎么做seo
  • seo关键词排名技术长春网站排名优化价格
  • 邯郸网站建设报价阿里虚拟机建设网站
  • 口碑好的网站推广价格办公室公共空间设计
  • 成都网站备案太慢番禺网站建设设计
  • 企业做网站应该注意的问题网站建设嘉兴
  • 沂水住房与城乡建设局网站网站后台自动退出
  • 网站音乐播放器代码做网站运营如何提升用户粘度
  • 如何虚拟一个公司网站电商无货源怎么做
  • 网站站长指南wordpress插图插件
  • 电子商务网站开发平台网上做的好金融网站
  • 机械制造网站微官网入口
  • 电子商务网站设计实践报告做网站找谁
  • html5个性个人网站python 直播网站开发
  • 建筑公司名称大全简单大气两个字重庆seo博客
  • 网站建设公司教程网站的建设论文
  • 用哪个网站做相册视频文件夹三六五网做网站吗
  • 专业网站建设制作网站外地备案
  • 南京网站制作公司排名前十电子商城网站建设价格
  • 拍拍网站源码wordpress漏洞检测
  • 杭州seo网站推广软件涿鹿做网站wl17581
  • cnnic 是什么网站广州市海珠区
  • 那些彩票广告网站怎么做的艺术设计
  • 好看的界面设计如何做seo网站
  • 网站建设菜鸟教程wordpress板块
  • 常营网站建设中国建设银行手机网站
  • 一学一做短视频网站企业做网站需要多少钱