关闭
当前搜索:

NTAPI枚举指定进程中指定模块创建的线程

代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的....
阅读(34644) 评论(0)

C++ 用户模式调用 NtCreateThread

/******************************************************************** Created: 2012/02/01 18:17 Filename: NativeAPI.h Author: rrrfff Url: http://blog.csdn.net/rrrfff ***********************...
阅读(5294) 评论(1)

详谈内核三步走Inline Hook实现

前置知识:汇编 驱动 windbg 函数参数调用 关键词:堆栈平衡  inline hook  详谈内核三步走InlineHook实现 文/图  wofeiwo (一)Inline hook原理 Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤...
阅读(2549) 评论(1)

任意用户模式下执行 ring 0 代码

        众所周知在非 Admin 用户模式下,是不允许加载驱动执行 RING 0 代码的。 本文提供了一种方法,通过修改系统 GDT,IDT 来添加自己的 CALLGATE 和 INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门 在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INT GATE 永久性。可以在第一次安装时利用 SERVICE API 或 INF 文件设置成随...
阅读(1585) 评论(1)

Driver_Project.rar备份

unsigned char data[40541] = { 0x52, 0x61, 0x72, 0x21, 0x1A, 0x07, 0x00, 0xCF, 0x90, 0x73, 0x00, 0x00, 0x0D, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x16, 0x02, 0x74, 0x20, 0x90, 0x30, 0x00, 0xBD, 0x77, 0x00, 0x00, 0x90, 0x78, 0x00, 0x00, ...
阅读(1850) 评论(1)

驱动中的进程提权

void NtImprove(HANDLE ProcessHandle) { HANDLE Token; UseData.Status = ZwOpenProcessTokenEx(ProcessHandle, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, OBJ_KERNEL_HANDLE, &Token); //Open the access token associated with a process CheckRet; ZwDebugF("...
阅读(1755) 评论(1)

错用RtlFreeUnicodeString引发BAD_POOL_CALL蓝屏

extern "C" NTSTATUS __stdcall DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { //........................................ // 创建调试记录文件 OBJECT_ATTRIBUTES Obj_ = {0}; RtlInitUnicodeString(&UseData.Unicode, L"//??//Z://L...
阅读(7412) 评论(2)
    联系作者
    通过QQ与我联系(全天候7*24小时基本不在线)
    最新评论
    免责声明
    如果转载的文章侵犯了您的版权,请务必告知,我将立刻删除;
    博客所有文章允许转载,原创类不要求注明出处,随意就好;
    如果是转载的文章,建议直接转载原始来源,因为原作者极可能有更新