Guest Article - Introduction to Registry Filterin...
前段时间无聊时,简单逆向了XX游戏保护的驱动;本来不准备写这篇文章,但搜索资料看到类似代码,想做个简单的比较,纯属娱乐,各位看官见笑一 xx游戏保护驱动的实现: TSDeviceControl() IOCTL_TS_INIT(...
卡巴主动防御中检测隐藏进程的方法: Hook掉系统的SwapContext,这种方法是在2003年被提出的;这个函数被KiSwapThread调用,负责线程调度;下面这部分代码就是卡巴Detour SwapContext的...
A FAT file system volume is composed of four basic regionswhich are laid out in this order on t...
堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,...
PART 1: Kernel Object
//每一位表示对应这个特权级的队列中是否有线程(主要在KiSwapThread用,详细代码见PART3)ULONG KiRea...
注一:File system recognizer 文件系统识别器(下文简称为recognizer)File system 文件系统 ...
对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载器去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料. 在ReatOs和Nt4...
什么叫rootkit? 它是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”.rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码.ro...
(ps:很老的文章,只是今天在rootkit上找东西,又看到了,所以收藏到blo...
inject的一般方法是:CreateRemoteThread;今天在Rootkit上看到一个新的方法,让我想起1年前我看到过的类似方法,大家一起看看这种方法吧:1) 1年前我所看到的方法 DWORD&nbs...
上次说的绕过杀毒软件之一(实时监控篇)中,提供了解决方法这是对应代码:(至于如何清理具体驱动的NotfiyRoutine,就是找到驱动所加载的地址,用PsLoadedModuleList或ZwQuerySystemInformation,然后判断PspLoadImageNotifyRou...
杀毒软件的实时监控分为两个部分 一:Notify部分 二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是 PsSetLoadImageN...
windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003 2) CPU提供写保护的功...
1 Undocumented Windows NT中通过callgate实现的无驱动进如ring0的代码中的两个宏汇编代码 直接仿制于NT系统代码(_KiSystemService),随NT版本而变。Ring0Prolog ma...
- 访问:13272次
- 积分:210分
- 排名:第39名
- 随笔:21篇
- 评论:30条
随笔分类
随笔归档
个人相册
阅读排行榜
- PE加载器的实现 (1129)
- shellcode 之 JMP ESP 与 JMP EBX (1098)
- 绕过杀毒软件之一(实时监控篇) (1012)
- 线程调度的部分资料(乱) (732)
- 游戏保护之乱谈 (714)
- Code Inject的新技术 (699)
- Introduction to Registry Filtering in Vista(OSR) (674)
- Recognizer & FS & Filter (637)
- Ring0Prolog (632)
- Rootkit 1: Detection Hide Process (591)
评论排行榜
- 游戏保护之乱谈 (7)
- shellcode 之 JMP ESP 与 JMP EBX (6)
- AVP主动防御之隐藏进程 (4)
- PE加载器的实现 (4)
- 绕过杀毒软件之一(实时监控篇)续 (2)
- Zw*与Nt*的区别 (2)
- 小议文件保护和锁定技术 (2)
- 线程调度的部分资料(乱) (1)
- Code Inject的新技术 (1)
- Smss.exe进程分析 (1)
最新评论
- shellcode 之 JMP ESP 与 JMP EBX
MukkAlomo: . . <a href=></a>. .
- shellcode 之 JMP ESP 与 JMP EBX
Hytcem:ambien sleeping zolpidem tartrate price zolpidem10...
- shellcode 之 JMP ESP 与 JMP EBX
Sadnus:cipro pills ambien od . discount ambien...
- shellcode 之 JMP ESP 与 JMP EBX
KoipSiny:ambiean get ambien prescription online sleep medic...
- shellcode 之 JMP ESP 与 JMP EBX
FreaBox:sleeping aid ambien ambien on line buy ambien onli...
- 游戏保护之乱谈
cooc:re: 游戏保护之乱谈 TesSafe.sys。。。。
- 游戏保护之乱谈
1013897290:re: 游戏保护之乱谈 二 Cheat Engine 没下文了,不方便说的话可...
- 游戏保护之乱谈
1013897290:re: 游戏保护之乱谈 想和大侠交个朋友 QQ:1013897290
- 游戏保护之乱谈
TS:re: 游戏保护之乱谈 呵呵 我也知道是哪个游戏,一起交个朋友吧 QQ:2530854...
- 游戏保护之乱谈
maikkk:re: 游戏保护之乱谈 呵呵我知道是哪个游戏,想和LZ交个朋友