2007年11月
有时候我们希望能够动态监视系统中任意进程/线程的创建与销毁。为了达
到此目的我翻阅了 DDK 手册,发现其提供的 PsSetCreateProcessNotifyRoutine(),
PsSetCreateThreadNotifyRoutine(),等函数可以实现此功能。这两个函数可以
通过向系统注册一个 CALLBALCK 函数来监视进程/线程等操作。函数原形如下:阅读全文>
发表于 @ 2007年11月27日 13:32:00|评论(loading...)|编辑
许多用户都有过用Windows自带的任务管理器查看所有进程的经验,并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐
藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估阅读全文>
发表于 @ 2007年11月27日 13:02:00|评论(loading...)|编辑
实现内核级 HOOK 对于拦截、分析、跟踪系统内核起着致关重要的作用。实现的方法不同意味着应用侧重点的不同。如想要拦截 NATIVE API 那么可能常用的就是 HOOK SERVICE TABLE 的方法。如果要分析一些系统调用,那么可能想到用 HOOK INT 2E 中断来实现。如果想要拦截或跟踪其他内核 DRIVER 的调用,那么就要用到HOOK PE 的方法来实现。这里我们更注重的是实现,原理方面已有不少高手在网上发表过文章。大家可以结合起来读。下面以我写的几个实例程序来讲解一下各种方法的实现。错误之处还望各位指正。
阅读全文>
发表于 @ 2007年11月27日 12:58:00|评论(loading...)|编辑
/网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ,但是拿里面的代码来使用的时候发现并没有太多效果
//于是修改之,终于实现了最初的目标
//由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程 包括断链、抹PspCidTable...
//甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束
//除非能够把EProcess结构修改掉,但这个实现难度可能比较大,不知有没有哪位大侠试过(PID我修改过),欢迎讨论
//
//作者:堕落天才
//时间:2007年5月10日
//参考: uty Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html
//下面代码在XP SP2测试通过阅读全文>
发表于 @ 2007年11月27日 12:54:00|评论(loading...)|编辑
现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword)阅读全文>
发表于 @ 2007年11月27日 12:36:00|评论(loading...)|编辑
上学期windows高级操作系统作的大作业,主要对于枚举进程采用直接扫描EPROCESS的办法,也用到了Hook SSDT技术。所以有一定参考价值,同时工具本身也有其实用价值。阅读全文>
发表于 @ 2007年11月27日 12:35:00|评论(loading...)|编辑
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。这
些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操
作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启
动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中
加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以
对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护
机制么?答案是否定的,下面请听我一一道来。阅读全文>
发表于 @ 2007年11月13日 20:36:00|评论(loading...)|编辑
还是来说说原理把(本人也是菜鸟啊)!
远程注入就是在目标进程中用VirtualAllocEx申请一段内存,
然后用WriteProcessMemory函数将自己dll的完整路径复制到远程进程中,
然后在Kernel32中计算LoadLibraryA的地址,再调用LoadLibraryA函数加载远程dll,
并在CreateRemoteThread创建远程进程!阅读全文>
发表于 @ 2007年11月13日 20:34:00|评论(loading...)|编辑
Winlogon通知包(Winlogon Notification Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon Notification Package”来监视winlogon事件的响应。你可以注册这些DLL,那么winlogon.exe会在启动时加载它们,并且会在系统状态切换时来调用注册DLL的事件处理函数。当然这一点用来加载后门是在好不过了,因为加载的后门存在于winlogon.exe的进程中,而 winlogon.exe是系统进程,一般情况下是无法终止它的,况且杀死它会导致系统崩溃或重启,没人会这么做。用“Winlogon Notification Package”来加载后门的又一个好处是——你的后门将运行在system权限下而不用注册为系统服务阅读全文>
发表于 @ 2007年11月13日 20:33:00|评论(loading...)|编辑
在NT/2000中怎么禁用Ctrl+Alt+Delete?(不能用gina,键盘驱动)
在Windows2000中Ctrl-Alt-Delete组合键的处理如下:
Winlogon初始化的时候,在系统中注册了CTRL+ALT+DEL Secure Attention Sequence(SAS)热键,并且在WinSta0 Windows 系统中创建三个桌面。
SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程,所以保证了没有其他应用程序能够处理这个热键。
在 Windows NT/Windows 2000/Windows XP 中, WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了 SAS窗口(窗口标题是"SAS Window")和如下三个桌面。 阅读全文>
发表于 @ 2007年11月13日 20:32:00|评论(loading...)|编辑
详细介绍了在Visual Studio平台下,通过建立Makefile项目,激活DDK Build命令行程序构造WDM设备驱动程序的方法。阅读全文>
发表于 @ 2007年11月13日 20:31:00|评论(loading...)|编辑