Guest Article - Introduction to Registry Filterin...
阅读(801) 评论(0)
前段时间无聊时,简单逆向了XX游戏保护的驱动;本来不准备写这篇文章,但搜索资料看到类似代码,想做个简单的比较,纯属娱乐,各位看官见笑一 xx游戏保护驱动的实现: TSDeviceControl()  IOCTL_TS_INIT(...
阅读(741) 评论(7)
卡巴主动防御中检测隐藏进程的方法:    Hook掉系统的SwapContext,这种方法是在2003年被提出的;这个函数被KiSwapThread调用,负责线程调度;下面这部分代码就是卡巴Detour SwapContext的...
阅读(622) 评论(4)
A FAT file system volume is composed of four basic regionswhich are laid out in this order on t...
阅读(663) 评论(0)
 堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,...
阅读(1289) 评论(7)
PART 1: Kernel Object //每一位表示对应这个特权级的队列中是否有线程(主要在KiSwapThread用,详细代码见PART3)ULONG KiRea...
阅读(848) 评论(1)
注一:File system recognizer 文件系统识别器(下文简称为recognizer)File system            文件系统 ...
阅读(711) 评论(0)
  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载器去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4...
阅读(1282) 评论(4)
什么叫rootkit?  它是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”.rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码.ro...
阅读(693) 评论(1)
(ps:很老的文章,只是今天在rootkit上找东西,又看到了,所以收藏到blo...
阅读(549) 评论(0)
inject的一般方法是:CreateRemoteThread;今天在Rootkit上看到一个新的方法,让我想起1年前我看到过的类似方法,大家一起看看这种方法吧:1) 1年前我所看到的方法    DWORD&nbs...
阅读(815) 评论(2)
上次说的绕过杀毒软件之一(实时监控篇)中,提供了解决方法这是对应代码:(至于如何清理具体驱动的NotfiyRoutine,就是找到驱动所加载的地址,用PsLoadedModuleList或ZwQuerySystemInformation,然后判断PspLoadImageNotifyRou...
阅读(548) 评论(2)
杀毒软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageN...
阅读(1164) 评论(0)
windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003   2) CPU提供写保护的功...
阅读(615) 评论(0)
1 Undocumented Windows NT中通过callgate实现的无驱动进如ring0的代码中的两个宏汇编代码  直接仿制于NT系统代码(_KiSystemService),随NT版本而变。Ring0Prolog ma...
阅读(741) 评论(0)
1 2 下一页共2页  到第