2009年08月_lionzl

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月

转载 SSDT HIDE Process

原文出处：http://bbs.tian6.com/redirect.php?tid=12021&goto=lastpost前言：这只是一篇类似于教学性的paper，在本文中阐述了一些SSDT HOOK的基本原理与实现方法，方法并不高深也不新颖，只是方便如同我一般的小菜们能够了解SSDT HOOK的概念，并通过一个小程序实现ring0下SSDT HOOK来隐藏特定进程。大牛请飘过。什么是S

2009-08-27 11:48:00 1289

近一直在研究rootkit，首先申明我是rootkit的菜鸟哈，也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来，也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来，但是一般的方法是看不出来的，比如任务管理器，和程序里面列出进程都是看不到的。程序中我已经添加了相关的注释，这里

2009-08-27 11:41:00 1400

转载驱动笔记：SSDT HOOK实现进程保护

驱动笔记：SSDT HOOK实现进程保护 2009-02-19 10:30:47 www.hackbase.com 来源：7747.net　　http://nokyo.blogbus.com/logs/35320995.html　　SSDT HOOK已经是很老的技术了，但对新手来说还是有一些嚼头的。根据常规的做法，我们应该挂钩ZwTerminateProcess函数，不过这个函数仅有两个参数，

2009-08-27 11:37:00 1202

转载一种新的加载驱动方法非完整爆光

Gh0u1s Blog一种新的加载驱动方法非完整爆光作者:langouster端午大放血，一种新的加载驱动方法，应该属于0day。为了网民考虑，我不会公开全部技术，但如果有心，根据这些要点肯定可以研究出这个技术。加载步骤：1。编写一驱动，不用关sfc，直接复制替换系统目录下的某文件。2。调用某API函数，此函数不是由ntdll,kernel32,user32这些DLL导出的，

2009-08-27 11:31:00 1375

转载利用驱动程序隐藏任意进程，目录/文件，注册表，端口

利用驱动程序隐藏任意进程，目录/文件，注册表，端口2006-07-26 12:27 作者：来源：发表时间：2006-05-19 -- 利用驱动程序隐藏任意进程，目录/文件，注册表，端口[转帖]查找进程，目录/文件，注册表等操作系统将最终调用 ZwQueryDirectoryFile，ZwQuerySystemInformation， ZwXXXValueKey 等函数

2009-08-27 11:19:00 1152

转载 Loading drivers and Native applications from kernel mode, without touching registry

Loading drivers and Native applications from kernel mode, without touching registry"How to load driver without touching registry from kernel mode", this is asked almost always.Today, I will give you a

2009-08-27 11:06:00 889

转载通过ZwSetSystemInformation和ZwLoadDriver加载驱动(转)

通过ZwSetSystemInformation和ZwLoadDriver加载驱动(转)2007-09-29 09:13这段时间接触了一点点windows内核以及驱动编写的东西.深知其博大精深难以学习.入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修

2009-08-27 09:36:00 1677

转载 SSDT Hook的妙用－对抗ring0 inline hook

标题: 【原创】SSDT Hook的妙用－对抗ring0 inline hook作者: 堕落天才时间: 2007-03-10,15:18链接: http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:【原创】SSDT Hook的妙用－对抗r

2009-08-25 22:10:00 754

转载 Writing drivers to perform kernel-level SSDT hooking

Writing drivers to perform kernel-level SSDT hookingThe goal of the reader is to perform the the below points while following the tutorial. The tutorial describes how to do this step by step.Write

2009-08-25 11:18:00 1047

转载 Armadillo 加壳易程序使用教程

Armadillo 加壳易程序使用教程上传时间：2008-5-30 8:42:45 阅读：统计中次星酷网提供文章查看: 鉴于许多人都知道Armadillo的利害但都因为不会用（软件界面特殊且为英文）而老找我问它的使用方法，特发此贴希望对大家有所帮助。以下操作均以菜单方式，没有提到的地方可以忽略。１、首先准备好要加壳的目标程序或资源文件，如exe/scr/dll/

2009-08-21 21:43:00 2924 1

转载 Windows LOGON描述

Windows LOGON描述作者:陆麟(lu0)homepage:http://lu0.126.com时间：2000年3月NT和9X都有登录到网络,获取网络资源的能力.但是他们的实现却是完全不同的.今天就讲点登录吧. 首先,很多朋友并不知道在9X如何通过编程方法使用户登录到网络上.的确,9X的LOGON文档十分难找.在95DDK里,而且深深隐藏.难以发现. WIN9X的网

2009-08-21 16:55:00 883

转载使用WinDBG和VMware调试驱动程序

使用WinDBG和VMware调试驱动程序2008-07-14 20:42环境的搭建参考：http://hi.baidu.com/1ian9yu/blog/item/bbaf1301240d7ad3267fb524.html，这里只说调试。还是先统一一下名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。我们编写完驱动后，当然要进行调试，这不可能在HostO

2009-08-21 16:52:00 614

转载支持 PS/2 与 USB 的键盘过滤驱动(可卸载)

创建时间：2007-02-26文章属性：原创文章提交：sinister (jiasys_at_21cn.com)Author: sinisterEmail: sinister@whitecell.orgHomepage:http://www.whitecell.org Date: 2007-02-26/**************************************

2009-08-21 09:28:00 651

原创 WinDBG+VMware=调试内核

呵呵，搞点突兀的标题而已。其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已，这些网上已经有数不清的教程了，不过我喜欢自己亲手写一下。第一，把这个过程写一遍能加深印象，就算以后忘记了也可以有笔记查找，快速想起来。第二、网上的教程很多都是互相抄来抄去，连错误也抄过去了。很典型一个错误就是Baud Rate，前面还写115200，后面就写成了11520了，狂汗！按照我这篇笔记写

2009-08-21 09:08:00 621

转载解决XP DDK编译的native程序在win2k下蓝屏的问题

看来不设法把对 RtlUnhandledExceptionFilter 的引用去掉是解决不了这个问题了。继续用 IDA 简单分析一下，发现这个函数是被 security_check_cookie 所调用到，我们知道 security_check_cookie 这个函数是微软最新的编译器自动添加到函数的尾部，用来检测函数是否存在堆栈发生缓存溢出的错误，如果是普通应用程序，我们可以通过把 c/c+

2009-08-21 08:14:00 724

原创另一种vc编译驱动方法

VC6只是一个IDE,可以方便的调用编译器，链接器，头文件，库文件，如果编辑和编译驱动能集成在一起，这样可以提高开发效率。对于普通的Win32应用程序，VC6已经默认支持了，而对于驱动程序没有设定好的工程向导。其实驱动程序也就是一个sys,是通过c语言写成，所以编译它理论上没有问题，只是在实际操作上有点麻烦。下面就来说明一下各种平台编译sys驱动的方法（包括64位平台）先看32位

2009-08-21 08:09:00 572

原创 WDM和DDK区别

至于为什么要去掉 DRIVERTYPE=WDM 的原因是: DRIVERTYPE=WDM 要求在INCLUDES条目中用WDM_INC_PATH来代替DDK_INC_PATH 也就是在Driver.c中的头文件就应该是wdm.h,而不是ntddk.h 而在程序中使用到的某些函数原型却只有在ntddk.h中有,在wdm.h中没有.比如 typedef

2009-08-21 08:04:00 1042

转载 Three Steps Down the Stairs: From Win32 User-Land through Native API to Kernel

IntroductionAs the title says, three steps down the stairs, our project application will "travel" through the Windows system to finally reach the kernel, from ring 3 to ring 0. It will become more a

2009-08-20 17:41:00 925

转载 Native Thread Injection | Into the Session Manager Subsystem

Disclaimer: Please, do not use provided code in malicious software.IntroductionSo, thats not actually some mega explanation paper about some cool hacker stuff, just a little advisory. I will not ex

2009-08-20 17:31:00 845

转载 Driver to Hide Processes and Files

Download source code - 871.98 KB Download demo - 230.68 KB List of ContentsIntroduction Is this article dangerous? Legal reason to hide processes and files Projects used Project implementation Project

2009-08-20 16:49:00 1240

转载 VC的DDK编译环境构建

1. 哪有 XP DDK 下载呢？在emule上面也许有下载，在驱动开发网上肯定有下载。2. XP DDK 和 XP SP1 DDK 有什么区别么？ sp1多了一些库函数，一般情况下用不上的。xpddk就够了。3. 想写个同时支持 2K/XP 的驱动，单纯用 2K 或 XP 的 DDK 能互相兼容么？能互相兼容。xpddk包含2kddk的所有东西。xpddk写出来的东西2k

2009-08-20 11:46:00 980

转载 Native Application应用之开机杀毒

用瑞星好长时间了，用久了，就产生思考了：开机杀毒是怎么回事呢？杀毒软件是怎么实现在系统启动的时候在Blue Screen上写东西的呢？前几天偶然在网上发现一篇文章《Inside Native Applications》，我恍然大悟。我们知道在windows下写程序，无非就是两种程序，一种是应用程序，一种是驱动程序。其实还存在第三种程序：Native Application。

2009-08-20 09:38:00 717

转载 native application程序结构的理解

native application程序结构是这样的:入口函数NtProcessStartiup(),程序结束必须调用NtTerminateProcess.下面是参考代码:当你从WindowsNT环境非正常退出重新启动系统时,你会注意到系统会自动运行一个磁盘检查程序AutoCheck,这个程序既不同于Windows 9X /Me环境下的ScanDisk.exe 16位DOS程序,也不同于Win

2009-08-20 09:34:00 642

原创 Apache https 配置指南

Windows Apache HTTPS配置创建下面3个目录： C:/Program Files/Apache Group/Apache2/conf/sslC:/Program Files/Apache Group/Apache2/conf/ssl.keyC:/Program Files/Apache Group/Apache2/conf/ssl.crt这里假设apache安装目录是C

2009-08-13 07:59:00 860

原创 ws2_32.dll wsock32.dll send sendto 注意

我们知道，WS2_32.DLL导出了send、sendto、recv、recvfrom、WSASend、WSASendTo、WSARecv和WSARecvFrom，而WSOCK32.DLL也导出了send、sendto、recv、recvfrom函数（OD只能看到WSOCK32.DLL的recv、recvfrom，用VC的DEPENDS.EXE才能查看到send、sendto）。但MSDN上并没有

2009-08-11 10:15:00 3339

原创 WaitForMultipleObjects用法探索

WaitForMultipleObjects是Windows中的一个功能非常强大的函数，几乎可以等待Windows中的所有的内核对象（关于该函数的描述和例子见MSDN，）。但同时该函数在用法上却需要一定的技巧。原型：DWORD WaitForMultipleObjects( DWORD nCount

2009-08-11 09:10:00 545

转载 setsockopt()用法

setsockopt()用法 1.closesocket（一般不会立即关闭而经历TIME_WAIT的过程）后想继续重用该socket：BOOL bReuseaddr=TRUE;setsockopt(s,SOL_SOCKET ,SO_REUSEADDR,(const char*)&bReuseaddr,sizeof(BOOL));2. 如果要已经处于连接状态的soket在调用closesocket后

2009-08-11 09:09:00 532

转载简单驱动编写与windbg调试

简单驱动编写与windbg调试来自51cto。作者: 诚信永安一．驱动编写随着对windows系统的深入研究，越来越多的内核方面的知识被挖掘出来了，今天我们讨论下如何写一个简单的驱动，并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几个部分组成：1，一个入口点(DriverEntry):用于创建设备对象及符号连接

2009-08-10 11:31:00 453

转载利用VMWare和WinDbg调试驱动程序

利用VMWare和WinDbg调试驱动程序心里总感觉 SOFTICE 的发展快到末路了。果然在 2006 年时Compuare 宣布停止 SOFTICE 开发。这里消息确实令很多人心痛。但与此同时，Windows 的配套调试器 windbg ， cdb 等不断更新，功能不断强大，你必须选择它，虽然它内核调试速度不理想。后来我知道了 syser debuger, 国人写的不错的调试器，基本上 S

2009-08-10 11:14:00 535

转载 Protection Schemes Based on Virus Survival Techniques

June, 1945IntroductionThough generally considered malevolent, computer viruses should be studied for academic reasons and practical purposes [1]. For the virus researcher the goal is clear: developm

2009-08-10 09:51:00 2567

原创对论坛中有关数据类型转换的整理

对论坛中有关数据类型转换的整理整理：Vision Deng--------------------------------------------------------------------------------说明：本文纯粹是总结一下有关类型转换的贴子，本人并未对所有方法都做测试，仅仅是为了给大家一个参考。int i = 100;long l = 2001;float f=300.2;

2009-08-07 10:45:00 674

转载 _CrtDumpMemoryLeaks()的作用(转) 收藏

_CrtDumpMemoryLeaks()的作用(转) 收藏 CrtDumpMemoryLeaks()就是显示当前的内存泄漏。注意是“当前”，也就是说当它执行时，所有未销毁的对象均会报内存泄漏。因此尽量让这条语句在程序的最后执行。它所反映的是检测到泄漏的地方。一般用在MFC中比较准确，在InitInstance里面调用_CrtDumpMe

2009-08-07 10:32:00 721