Introduction to Registry Filtering in Vista(OSR)

Guest Article - Introduction to Registry Filterin...
2014/4/7 15:44:06 阅读(917) 评论(0)

游戏保护之乱谈

前段时间无聊时,简单逆向了XX游戏保护的驱动;本来不准备写这篇文章,但搜索资料看到类似代码,想做个简单的比较,纯属娱乐,各位看官见笑一 xx游戏保护驱动的实现: TSDeviceControl()  IOCTL_TS_INIT(...
2014/4/7 15:44:06 阅读(828) 评论(7)

AVP主动防御之隐藏进程

卡巴主动防御中检测隐藏进程的方法:    Hook掉系统的SwapContext,这种方法是在2003年被提出的;这个函数被KiSwapThread调用,负责线程调度;下面这部分代码就是卡巴Detour SwapContext的...
2014/4/7 15:44:06 阅读(735) 评论(4)

FAT32文件系统格式浅析

A FAT file system volume is composed of four basic regionswhich are laid out in this order on t...
2014/4/7 15:44:06 阅读(762) 评论(0)

shellcode 之 JMP ESP 与 JMP EBX

 堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,...
2014/4/7 15:44:06 阅读(1411) 评论(7)

线程调度的部分资料(乱)

PART 1: Kernel Object //每一位表示对应这个特权级的队列中是否有线程(主要在KiSwapThread用,详细代码见PART3)ULONG KiRea...
2014/4/7 15:44:06 阅读(1035) 评论(1)

Recognizer & FS & Filter

注一:File system recognizer 文件系统识别器(下文简称为recognizer)File system            文件系统 ...
2014/4/7 15:44:06 阅读(830) 评论(0)

PE加载器的实现

  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载器去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4...
2014/4/7 15:44:06 阅读(1438) 评论(4)

Rootkit 1: Detection Hide Process

什么叫rootkit?  它是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”.rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码.ro...
2014/4/7 15:44:06 阅读(805) 评论(1)

(转)Hooking into NDIS and TDI

(ps:很老的文章,只是今天在rootkit上找东西,又看到了,所以收藏到blo...
2014/4/7 15:44:06 阅读(646) 评论(0)

Code Inject的新技术

inject的一般方法是:CreateRemoteThread;今天在Rootkit上看到一个新的方法,让我想起1年前我看到过的类似方法,大家一起看看这种方法吧:1) 1年前我所看到的方法    DWORD&nbs...
2014/4/7 15:44:06 阅读(948) 评论(2)

绕过杀毒软件之一(实时监控篇)续

上次说的绕过杀毒软件之一(实时监控篇)中,提供了解决方法这是对应代码:(至于如何清理具体驱动的NotfiyRoutine,就是找到驱动所加载的地址,用PsLoadedModuleList或ZwQuerySystemInformation,然后判断PspLoadImageNotifyRou...
2014/4/7 15:44:06 阅读(653) 评论(2)

绕过杀毒软件之一(实时监控篇)

杀毒软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageN...
2014/4/7 15:44:06 阅读(1302) 评论(0)

如何写windows系统已保护的内存区域

windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003   2) CPU提供写保护的功...
2014/4/7 15:44:06 阅读(692) 评论(0)

Ring0Prolog

1 Undocumented Windows NT中通过callgate实现的无驱动进如ring0的代码中的两个宏汇编代码  直接仿制于NT系统代码(_KiSystemService),随NT版本而变。Ring0Prolog ma...
2014/4/7 15:44:06 阅读(817) 评论(0)
1 2 下一页共2页  到第