工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLo
原创
2021-07-20 15:50:09
1511阅读
NTSTATUS WINAPI Hook_NtQueryDirectoryFile(IN HANDLE FileHandle,IN HANDLE Event OPTIONAL,IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,IN PVOID ApcContext OPT Read More
转载
2016-06-28 21:53:00
149阅读
2评论
在某公司实习完,再次回到寝室。还是在学校好。实习期间的给我的任务就是为项目添加一个强行删除的模块。背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除。所以叫我写一个这样的功能。所谓干净,指的是释放掉这个被占用的句柄。强行删除的方法很多,用驱动直接发磁盘I Read More
转载
2016-06-28 21:45:00
149阅读
2评论
pjf(jfpan20000@sina.com)很久没写什么东西,一来文笔太烂,二来我不是一般的懒。这个东西一看题目也就知道又是一篇无聊的帖子,凑凑数先。因为最近决定把读本科时的古董机上的东西收拾一下,看到一些最初学习时的老代码,回忆往日的时光,还颇有一些感慨呢...以后有空就选一些贴贴,也不怕人笑了。今天第一帖,代码原是大二时为NT4系统写的,是原先实践x86体系写的,作用是在Driver中“调
原创
2022-12-01 15:46:50
136阅读
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。 Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R1、 Read More
转载
2016-06-03 18:36:00
73阅读
2评论
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。
转载
精选
2009-01-08 10:21:10
1897阅读
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Win
原创
2022-11-27 11:11:29
323阅读
在写这篇文章之前我犹豫了很久,到底要不要把这些鲜为人知的方法公开了,因为一 旦公开,被人掌握这些技术,那么还原软件的脆弱性则一览无遗,网吧的机子应该就可以 随便的穿透,机器狗是需要加载驱动来进行穿透还原,而我介绍的这种技术不需要加载驱 动则可以穿透还原,你是不是听的有点兴奋,有点热血沸腾;但是我还是要告诉你,技术 是一把双刃剑,利用的好是安全软件,利用的邪恶就是木马、病毒等;作为一名黑客防线 的读
转载
2012-02-05 13:35:24
3095阅读
NTSTATUS WINAPI Hook_NtQueryDirectoryFile(IN HANDLE FileHandle,IN HANDLE Event OPTIONAL,IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,IN PVOID ApcContext OPTIONAL,OUT PIO_STATUS_BLOCK IoStatusBlock,OUT PVOID FileInformation,IN ULONG FileInformationLength,IN FILE_INFORMATION_CLASS FileInformationClass,IN BO
转载
2010-12-01 09:52:00
553阅读
2评论
理论知识 SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“高速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的
转载
2017-08-18 12:52:00
226阅读
2评论
说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDas
原创
2022-11-08 00:19:07
136阅读
[cpp] view plain copy [cpp] view plain copy http://blog.csdn.net/zwfgdlc/article/details/6613605 Read More
转载
2017-01-23 21:22:00
68阅读
2评论
CPU 指令环 ring0,ring1,ring2,ring3
转载
2020-11-07 20:28:00
1119阅读
/***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。 计划1:在hook前首先检验该程序是否已被hook 计划2:添加枚举进程并hook功能 计划3:在备份api时,只备份目标api函数,避免备份整个dll浪费空间
原创
2021-07-14 10:02:42
228阅读
/***********************************************************************//*实现全局hook模块基本完工,测试通过,没有发现异常。 计划1:在hook前首先检验该程序是否已被hook 计划2:添加枚举进程并hook功能 计划3:在备份api时,只备份目标api函数,避免备份整个dll浪费空间
原创
2021-04-25 17:17:30
277阅读
/***********************************************************************//*实现全局hook模块基本
原创
2022-04-19 17:04:04
234阅读
ollydbg,ring3级别的调试软件.基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用
原创
2022-11-25 17:05:57
95阅读
