- 博客(11)
- 资源 (18)
- 收藏
- 关注
转载 NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程
http://www.ghoffice.com/bbs/read-htm-tid-103923.html
2013-07-30 17:57:15 1115
转载 城里城外看SSDT
引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解
2013-07-30 17:17:15 738
转载 监视系统中进程的创建和终止
原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并创建一个系统事件对象,当系统中有进程新建或者进程终止,回调函数将会被调用,而在进程回调函数中,保存信息并出发系统
2013-07-30 16:54:22 1100
转载 APIHOOK
#include stdio.h>#include windows.h>#include Dbghelp.h>#pragma comment(lib,"Dbghelp.lib")#pragma comment(lib,"User32.lib")typedef int (__stdcall *OLD_MessageBox)( HWND hWnd, LPCTSTR lpTe
2013-07-30 16:50:46 749
原创 Try running RemoteDll as Administrator
在使用RemoteDll注入动态库的时候发现注入有的动态库会提示下面的错误, LoadLibrary on remote process [1968 - Explorer.exe] failed. Try running RemoteDll as Administrator....原因是动态库编译选项的问题:当使用MDD编译选项的时候会提示上面的错误,改成MTD就可以了
2013-07-22 12:18:05 1224
转载 用注册表创建无法删除的IE快捷方式
代码如下:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{98745625-1234-1234-1234-1234567890AB}]@="Internet Explorer"[HKEY_LOCAL_MACHINE/SOFTWA
2013-07-18 16:02:13 1442
原创 SetFileAttributes
设置文件属性: SetFileAttributes(文件名, 属性值)读取文件属性:GetFileAttributes(文件名);读取文件属性SetFileAttributes(文件名, FILE_ATTRIBUTE_READONLY); // 设定为只读SetFileAttributes(文件名, FILE_ATTRIBUTE_HIDDEN ); //设定为隐
2013-07-16 17:57:25 8703
原创 DbgPrint/KdPrint输出格式控制
在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。KdPrint is identical to the DbgPrint routine in code that is compiled
2013-07-11 12:07:25 651
转载 探索NDIS HOOK新的实现方法(1)
NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议,所获得的协议句柄实际上就是一 个NDIS
2013-07-10 12:17:47 877
转载 基于SPI的数据报过滤原理与实现
一、个人防火墙技术概述随着网络安全问题日益严重,广大用户对网络安全产品也越来越关注。防火墙作为一种网络安全工具,早已受到大家的青睐。在PC机上使用的个人防火墙,很大程度上成为广大网民的安全保护者。Windows下的个人防火墙都是基于对数据报的拦截技术之上。当然在具体的实现方式上它们却有很大的不同。总的来说可分为用户级和内核级数据报拦截两类。其中内核级主要是TDI过滤驱动程序,NDIS中间层过滤
2013-07-10 12:07:46 1868
原创 注册表中路径的写法
注册表中路径的写法实际上,因为用户模式下的应用程序总是由某个 “ 当前用户 ” 打开的,因此在用户模 式下可以直接访问 HKEY_CLASSES_ROOT 和 HKEY_CURRENT_USER ,但工作在内核模式下的驱动程序不属于任何一个用户,因此不能直接访问这两个根键。如果对象类型为注册表键,则对象名字应该起始于“\Registry”。例如:键
2013-07-06 11:47:26 1952
dotnetfx_cleanup_tool
2015-07-23
error C4996
2015-07-11
解决rdlc报错 An error occurred during local report processing
2015-07-07
VC 常见编译错误.pdf
2015-02-13
ReloadKernel(重载内核全程分析)
2014-02-25
如何HOOK桌面窗口消息
2013-12-26
代码注入的三种方法
2013-12-26
Windows下DNS ID欺骗的原理与实现
2013-11-16
NDIS+IM防火墙安装文件和源代码
2013-07-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人