http://blog.csdn.net/jingzu/zh-CNTue, 27 Nov 2007 13:31:39 GMT60jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904024.aspxTue, 27 Nov 2007 13:32:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1904024.aspxhttp://blog.csdn.net/jingzu/comments/1904024.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904024.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1904024.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1904024有时候我们希望能够动态监视系统中任意进程/线程的创建与销毁。为了达 到此目的我翻阅了 DDK 手册，发现其提供的 PsSetCreateProcessNotifyRoutine(), PsSetCreateThreadNotifyRoutine(),等函数可以实现此功能。这两个函数可以 通过向系统注册一个 CALLBALCK 函数来监视进程/线程等操作。函数原形如下：<img src ="http://blog.csdn.net/jingzu/aggbug/1904024.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904012.aspxTue, 27 Nov 2007 13:02:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1904012.aspxhttp://blog.csdn.net/jingzu/comments/1904012.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904012.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1904012.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1904012许多用户都有过用Windows自带的任务管理器查看所有进程的经验，并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上，进程隐 藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估<img src ="http://blog.csdn.net/jingzu/aggbug/1904012.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904007.aspxTue, 27 Nov 2007 12:58:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1904007.aspxhttp://blog.csdn.net/jingzu/comments/1904007.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904007.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1904007.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1904007实现内核级 HOOK 对于拦截、分析、跟踪系统内核起着致关重要的作用。实现的方法不同意味着应用侧重点的不同。如想要拦截 NATIVE API 那么可能常用的就是 HOOK SERVICE TABLE 的方法。如果要分析一些系统调用，那么可能想到用 HOOK INT 2E 中断来实现。如果想要拦截或跟踪其他内核 DRIVER 的调用，那么就要用到HOOK PE 的方法来实现。这里我们更注重的是实现，原理方面已有不少高手在网上发表过文章。大家可以结合起来读。下面以我写的几个实例程序来讲解一下各种方法的实现。错误之处还望各位指正。 <img src ="http://blog.csdn.net/jingzu/aggbug/1904007.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904003.aspxTue, 27 Nov 2007 12:54:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1904003.aspxhttp://blog.csdn.net/jingzu/comments/1904003.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1904003.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1904003.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1904003/网上得到一篇好文章 Ring0下搜索内存枚举隐藏进程 ，但是拿里面的代码来使用的时候发现并没有太多效果 //于是修改之，终于实现了最初的目标 //由于直接搜索内存,跟系统调度没什么关系,所以能够枚举到各种方法隐藏的进程 包括断链、抹PspCidTable... //甚至能枚举到已经"死掉"的进程,本程序通过进程的ExitTime来判断进程是不是已经结束 //除非能够把EProcess结构修改掉，但这个实现难度可能比较大，不知有没有哪位大侠试过（PID我修改过），欢迎讨论 // //作者:堕落天才 //时间:2007年5月10日 //参考: uty Ring0下搜索内存枚举隐藏进程 http://www.cnxhacker.net/Article/show/3412.html //下面代码在XP SP2测试通过<img src ="http://blog.csdn.net/jingzu/aggbug/1904003.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1903977.aspxTue, 27 Nov 2007 12:36:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1903977.aspxhttp://blog.csdn.net/jingzu/comments/1903977.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1903977.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1903977.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1903977现在RK（rootkit）和ARK(anti-rootkit)的斗争已经进行了很久，在印象中最早出来的ARK工具是冰刃(IceSword)<img src ="http://blog.csdn.net/jingzu/aggbug/1903977.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/27/1903975.aspxTue, 27 Nov 2007 12:35:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/27/1903975.aspxhttp://blog.csdn.net/jingzu/comments/1903975.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/27/1903975.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1903975.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1903975上学期windows高级操作系统作的大作业，主要对于枚举进程采用直接扫描EPROCESS的办法，也用到了Hook SSDT技术。所以有一定参考价值，同时工具本身也有其实用价值。<img src ="http://blog.csdn.net/jingzu/aggbug/1903975.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882807.aspxTue, 13 Nov 2007 20:36:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882807.aspxhttp://blog.csdn.net/jingzu/comments/1882807.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882807.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882807.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882807还原卡和还原软件被广泛运用于各种公共场合的电脑上，比如学校机房和网吧。这 些还原卡和还原软件（以下我简称为虚拟还原技术）能够记录下一切对硬盘的写操 作，不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作，只要一重新启 动，一切都会恢复到这个操作之前的情况，因此有些虚拟还原厂商还会在广告词中 加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以 对公共机房的电脑起到很好的保护作用，难道真的没有一种方法能够穿透这种保护 机制么？答案是否定的，下面请听我一一道来。<img src ="http://blog.csdn.net/jingzu/aggbug/1882807.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882805.aspxTue, 13 Nov 2007 20:34:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882805.aspxhttp://blog.csdn.net/jingzu/comments/1882805.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882805.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882805.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882805还是来说说原理把(本人也是菜鸟啊)! 远程注入就是在目标进程中用VirtualAllocEx申请一段内存, 然后用WriteProcessMemory函数将自己dll的完整路径复制到远程进程中, 然后在Kernel32中计算LoadLibraryA的地址,再调用LoadLibraryA函数加载远程dll, 并在CreateRemoteThread创建远程进程!<img src ="http://blog.csdn.net/jingzu/aggbug/1882805.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882804.aspxTue, 13 Nov 2007 20:33:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882804.aspxhttp://blog.csdn.net/jingzu/comments/1882804.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882804.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882804.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882804Winlogon通知包(Winlogon Notification Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon Notification Package”来监视winlogon事件的响应。你可以注册这些DLL，那么winlogon.exe会在启动时加载它们，并且会在系统状态切换时来调用注册DLL的事件处理函数。当然这一点用来加载后门是在好不过了，因为加载的后门存在于winlogon.exe的进程中，而 winlogon.exe是系统进程，一般情况下是无法终止它的，况且杀死它会导致系统崩溃或重启，没人会这么做。用“Winlogon Notification Package”来加载后门的又一个好处是——你的后门将运行在system权限下而不用注册为系统服务<img src ="http://blog.csdn.net/jingzu/aggbug/1882804.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882802.aspxTue, 13 Nov 2007 20:32:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882802.aspxhttp://blog.csdn.net/jingzu/comments/1882802.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882802.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882802.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882802在NT/2000中怎么禁用Ctrl+Alt+Delete?（不能用gina,键盘驱动） 在Windows2000中Ctrl-Alt-Delete组合键的处理如下： Winlogon初始化的时候，在系统中注册了CTRL+ALT+DEL Secure Attention Sequence(SAS)热键，并且在WinSta0 Windows 系统中创建三个桌面。 SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程，所以保证了没有其他应用程序能够处理这个热键。 在 Windows NT/Windows 2000/Windows XP 中， WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了 SAS窗口（窗口标题是"SAS Window"）和如下三个桌面。 <img src ="http://blog.csdn.net/jingzu/aggbug/1882802.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882798.aspxTue, 13 Nov 2007 20:31:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882798.aspxhttp://blog.csdn.net/jingzu/comments/1882798.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882798.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882798.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882798详细介绍了在Visual Studio平台下，通过建立Makefile项目，激活DDK Build命令行程序构造WDM设备驱动程序的方法。<img src ="http://blog.csdn.net/jingzu/aggbug/1882798.aspx" width = "1" height = "1" />jingzuhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882797.aspxTue, 13 Nov 2007 20:30:00 GMThttp://blog.csdn.net/jingzu/archive/2007/11/13/1882797.aspxhttp://blog.csdn.net/jingzu/comments/1882797.aspxhttp://blog.csdn.net/jingzu/archive/2007/11/13/1882797.aspx#Feedback0http://blog.csdn.net/jingzu/comments/commentRss/1882797.aspxhttp://tb.blog.csdn.net/TrackBack.aspx?PostId=1882797vc2005 在SDK中Sample编译错误及其解决方案<img src ="http://blog.csdn.net/jingzu/aggbug/1882797.aspx" width = "1" height = "1" />