- 博客(15)
- 资源 (5)
- 收藏
- 关注
RSS订阅转载 逆向一个基于驱动的恶意程序
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理: 此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
2008-09-26 13:41:00
2125
转载 Windbg内核调试之二: 常用命令
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
2008-09-26 13:35:00
1337
转载 Windbg内核调试之三: 调试驱动
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分钟的系统响应.有关双机调试的基本设置,请参考:htt
2008-09-26 13:35:00
2846
转载 Windbg内核调试之一: Vista Boot Config设置
Windbg进行内核调试,需要一些基本的技巧和设置,在这个系列文章中,我将使用Windbg过程中所遇到的一些问题和经验记录下来,算是对Kernel调试的一个总结,同时也是学习Windows系统内核的另一种过程。很多人说Windbg不如SoftIce好用, 但是我使用过程中还是觉得Windbg能更好的反映系统状态, 而且相比SoftIce, Windbg更稳定(虽然它的部分操作略显复杂), 下面介绍
2008-09-26 13:34:00
989
原创 Kmdtut 10---注册表
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-145710.1 注册表的结构10.2 在驱动程序中访问注册表10.3 RegistryWorks驱动程序源代码 10.3.1 注册表键的创建与打开 10.3.2 创建注册表键值 10.3.3 访问注册表键值 10.3.4 删除注册表键 10.3.5 更新注册表键 源代
2008-09-26 13:31:00
849
转载 Kmdtut 11---目录与文件
11.1 核心句柄表11.2 FileWorks驱动程序源代码11.3 创建目录与文件11.4 文件对象11.5 写入文件11.6 修改文件属性11.7 读取文件11.8 向文件追加数据11.9 截短文件11.10 删除文件与目录11.11 列举目录内容 源程序: KmdKit/examples/basic/FileWorks提供对文件的读写功能是操作系统的一项重要任务。我们来看一下N
2008-09-26 13:31:00
711
转载 Kmdtut 8---共享Section通讯
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1455共享Section通讯董岩译8.1 结构化异常处理8.1.1 seh驱动程序源代码8.1.2 建立 SEH-frame8.1.3 异常处理8.1.4 卸载SEH-frame8.1.5 使用宏来建立/卸载SEH-frame8.2 共享Section通讯8.2.1 Shar
2008-09-26 13:29:00
736
转载 Kmdtut 9---共享内存
9.1 SharingMemory驱动程序源代码9.1.1 DriverEntry函数9.1.2 DispatchControl函数9.1.3 Memory Descriptor List9.1.4 Cleanup函数9.2 SharingMemory应用程序源代码 源代码:KmdKit/examples/basic/MemoryWorks/SharingMemory在上一个例子Sha
2008-09-26 13:29:00
731
转载 Kmd教程6-系统内存堆
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1453【在这里下载本文的源代码】6. 系统内存堆本篇翻译:songsong 源码位置:KmdKit/examples/basic/MemoryWorks/SystemModules 首先是罗云彬的废话:感谢刘松一起参与这个翻译项目,这样本教程的中文翻译才能这么快和大家见面,刘松是温
2008-09-26 13:28:00
666
转载 Kmd教程7-后备列表
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1454【在这里下载本文的源代码】7. 后备列表本篇翻译:songsong 源代位置:KmdKit/examples/basic/MemoryWorks/LookasideList 我回来了,对门的那个白人MM听说我是黑客(其实长得黑而已)对我特崇拜,差点要以身相许,幸亏咱意志坚定…
2008-09-26 13:28:00
788
转载 Kmd教程5-全功能的驱动程序分析
5. 全功能的驱动程序分析※ 本篇的源代码同第4节的源代码:KmdKit/examples/simple/VirtToPhys5.1 VirtToPhys驱动程序的源代码 现在是到看看一个全功能驱动程序源代码的时候了,这里就是:;@echo off;goto make;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
2008-09-26 13:27:00
1524
转载 Kmd教程4-I/O子系统
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1451【在这里下载本文的源代码】4. I/O子系统※ 和本节内容相关的源代码见KmdKit/examples/simple/VirtToPhys4.1 I/O管理器 在用户模式下,我们可以通过访问某个地址来直接调用dll中的函数,与此不同的是,从系统的稳定性考虑,在内核模式下这样做
2008-09-26 13:26:00
992
转载 Kmd教程3-最简单的设备驱动程序
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1450【在这里下载本文的源代码】3. 最简单的设备驱动程序※ 和本章内容相关的源代码见:KmdKit/examples/simple/BeeperKmdKit/examples/simple/DateTime3.1 如何编译和链接内核模式驱动程序 我总是把驱动程序的汇编源代码放到批
2008-09-26 13:25:00
2774
转载 Kmd教程2-服务
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1449【在这里下载本文的源代码】2. 服务※ 和本节对应的例子代码见KmdKit/examples/simple/Beeper 读者也许有点疑惑:用户模式的服务关内核模式的驱动程序什么事呀?事实上,两者的确风马牛不相及,但是如果我们要和设备驱动程序通讯的话,我们必须首先安装它,启动
2008-09-26 13:24:00
1111
转载 Kmd教程1-内核模式驱动程序基础
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-14481.Kernel Mode驱动程序基础 本教程讲述了如何在Windows NT为基础的操作系统上用Win32汇编开发KMD,包括NT4.0、2000、XP和2003等操作系统。开发Windows 95/98/ME使用的VxD驱动程序方面的知识并不在本教程讲述的范围内,另外,毫
2008-09-26 13:23:00
1999
VR特警修改器的源代码,利用了驱动级键盘模拟技术
2009-11-13
VisualAssistX_10.7.1916 破解版,支持VS2012
2013-03-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人