Win7 ,7601 sp1。内核 NT 6.1
此函数的参数只有一个(Y),即要解密的指针。
首先调用 ZwQueryInformationProcess(-1,0x24,&Buffer,sizeof(Buffer),4),函数返回一个4字节的值,若返回值 NTStatus 不为负数,则取 Buffer 存储的值 X
- Z = 0x40 - (X and 00111111)
- Y >> Z
- N = (X xor Y)
返回值即为 N
Win7 ,7601 sp1。内核 NT 6.1
此函数的参数只有一个(Y),即要解密的指针。
首先调用 ZwQueryInformationProcess(-1,0x24,&Buffer,sizeof(Buffer),4),函数返回一个4字节的值,若返回值 NTStatus 不为负数,则取 Buffer 存储的值 X
返回值即为 N