- 博客(13)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 1.初识溢出
一直没系统的学下这个,以为这玩意早特么过时的东西,后来看到还是灰常有必要的,所以。。。溢出是什么玩意就不介绍了,看个简单例子:strcpy原型声明:extern char *strcpy(char *dest,char *src);功能:把从src地址开始且含有NULL结束符的字符串赋值到以dest开始的地址空间。它的拷贝时不检查长度的,她会一直拷一直拷,直到src的结尾,这就
2011-11-26 19:32:02
1289
2
原创 xp/win7 win32k kernel 0day
目前还是ODay,转自DEBUGMAN老外今天公布的,改了一下XP的可以支持任意权限用户触发建立一个名为1123的user权限用户运行可触发~(不是老外,翰海源的instruder公布的。XP下没对文件句柄做任何检测,所以 lpLayoutFile 只要是任何一个可以写入的地址都可以。win7里面还会限定这个句柄只能是windows/system32下的文件。)//
2011-11-25 19:20:10
1350
原创 操作系统分页分段小笔记
以前看分页分段时记得笔记,今天无意翻出来发现记得还挺好的,虽然当时貌似看的不怎么懂,博客发下分段机制:CS,DS,ES,FS,GS,SS 段选择器高13位表示索引(从0开始)第二位 TI=0在GDT中,TI=1在LDT中0,1位表示程序的当前优先级RPLGDTR:全局描述符表寄存器 48位 指向全局描述符表GDTLDTR:局部描述符表寄存器 16位 类
2011-11-21 16:30:16
2784
原创 关于VS2008debug编译下函数名字就是函数地址的问题
今天写个程序,自定义了一个函数void Func();然后DWORD dwStart=(DWORD)Func;调试监视 dwStart与Func两值不同拿到OD里看了下发现是这样的0062D7D3 . /E9 68050100 JMP demo.0063DD40原来debug版本的地址都是A:jmp BB:Func()。dwStart
2011-11-16 19:34:29
1785
转载 读IDTR与GDTR的值
转自油条智辅论坛#include "stdafx.h"#include int _tmain(int argc, _TCHAR* argv[]){ char idtr[6]={0}; char gdtr[6]={0}; SetThreadAffinityMask(GetCurrentThread(),1); __asm { sidt idtr sgdt
2011-11-12 11:42:48
12917
原创 关于未导出函数与导出但是未文档化的函数
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。使用方法:1。在驱动层使用MmGetSystemRoutineAddress加函数名去获取函数的地址2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型)未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进
2011-11-10 14:27:47
3203
转载 Ring0上调用未导出Zw函数通用函数
转自虾总前段时间写的一段无聊代码,可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数,如ZwProtectVirtualMemory。在此感谢alpha提供思路。BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...){ char *vl; BOOLEAN retval
2011-11-09 14:15:35
4091
1
原创 自写API绕过R3下所有HOOK
拿FindWindow来做测试,先OD跟一下HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器"));::SendMessage(hWnd,WM_CLOSE,NULL,NULL);为了方便分析参数,给FindWindow也传递了类名。OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面77D2C9C5 5
2011-11-09 13:42:16
6989
2
原创 windbg双机调试时对R3函数下断
对于刚接触windbg的童鞋可能想在双机调试的环境下查看某个用户态函数的反汇编,可能会直接下直接断点,这是会产生如下提示的错误 Bp expression ‘*******’ could not be resolved, adding deferred bp这是因为没有切换到用户环境。可依次执行如下命令kd> !process 0 0 explorer.exePROCESS 8
2011-11-08 22:57:18
4807
1
原创 病毒分析必备工具及基本流程
快毕业了也应该给自己定个明确的方向,对于病毒分析这方面的知识确实还是感兴趣的,这里收集了一些资料,给大家分享一下。以下来自乌龟,略有改动先说说硬件:条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了必备工具:Windows XP(别嫌弃老,老有老
2011-11-03 22:15:30
4909
转载 病毒分析之我见
转自:UNPACK 作者:乌龟 这两天逛了几个国内知名的反病毒的论坛或是版块,不知道是各位同行没有兴趣讨论还是为什么。病毒分析报告看到了不少,可是难道我们真正需要的只是一个答案?一份报告吗?或许我们更需要的是如何提高自身的分析能力。我们都想有更高的收入,但对于一个公司来说,付出更高的回报也许不是问题,前提是员工能创造更大的价值,怎样才能让自己的逆向能力合法的转化为
2011-11-03 21:46:22
1609
原创 简单实现了下SSDT SHADOW HOOK
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUs
2011-11-03 16:13:44
11168
脱壳的艺术--doc
2010-07-01
逆向c++,PDF格式
2009-10-05
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人