- 博客(7)
- 收藏
- 关注
原创 EPROCESS:NT进程的核心(更新)
作者是 陆麟 是2000年写的了 呵呵 内核类的文章沉寂了好长一段时间,再度开写.今天写的乃是未公开的WIN2000的EPROCESS结构. EPROCESS乃是NT进程的核心.该结构定义了所有进程相关的数据.知道了该结构,NT的核心机密就公开了一半.下面乃是我于7.26挖到凌晨的奥秘.:)))看哪.大补啊.:DDD 该结构仅在英文WIN2000零售版上验证通过.如果以后WIN2000有了SE
2005-02-25 22:10:00 3156
原创 msblast蠕虫主要代码分析
tombkeeper#whitecell.org;在注册表中写入自启动项:00401250 55 push ebp:00401251 89E5 mov ebp, esp:00401253 81ECAC030000 sub esp, 000003AC:00401259 56
2005-02-15 01:32:00 3943
原创 通过读取KiWaitInListHead列出隐藏的进程
/*有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.技术细节请参照Jan K. Rutkowski的原文http://www.blackhat.com/presentations/b
2005-02-15 01:29:00 2431
原创 对Mydoom.a的shimgapi.dll的分析
tombkeeper#whitecell.orgMydoom.a的后门是以dll形式存在的,通过修改注册表相应键值,将自己加载到资源管理器的进程空间中。正常情况下,注册表应该是这个样子的:HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 REG_EXPAND_SZ %Syste
2005-02-15 01:25:00 2047
转载 avserve病毒初步分析(zt)
avserve病毒初步分析作者:mejy【BCG】【FCG】【DFCG】【NUKE】【IPB】声明:本文仅供研究使用,任何人利用本文涉及的技术造成的不当后果由自己承担!由于本人第一次分析病毒,很多不正确的地方请各位大侠指正!!!本人第一次写本文时尚未有官方资料出来!有些地方肯定不是很准确!请谅解欢迎指正!反汇编会发现输入表只有几个简单的函数。004027CE > B8 DD274000 MOV E
2005-02-15 01:23:00 3732
转载 Acrobat Reader5.1漏洞分析(zt)
作者:Leven只对Acrobat Reader 5.1有效在一个xdf文件里放入一个超长的段,会造成溢出问题代码001B:2200E249 55 PUSH EBP001B:2200E24A 8BEC MOV EBP,ESP001B:2200E24C 81EC40010000 SUB
2005-02-15 01:17:00 2394
原创 获得一条指令(opcode and opdata)长度的函数(转)
eyas在xhook中提到了在hook的时候,能获取指令长度是一件很有意义的事。下面是wjl@smth写的一个获取指令长度的函数:/* 使用下面的函数可以“反汇编”一条指令, 可以得到opcode 和 opdata, 以及完整指令的长度 函数返回1后,disasm_len就是指令的长度*/#define C_66 0x00000001 // 66-prefix
2005-02-15 01:15:00 3762 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人