- 博客(17)
- 资源 (63)
- 收藏
- 关注
原创 Windows PE变形练手2-开发一套自己的PE嵌入模板
PE嵌入模板 编写一段代码,生成一个已经处理过重定位信息,同时所有的内容都在代码段里,并且没有导入表的PE程序,把这个程序嵌入到其他PE的相关位置,能够独立的运行,接下来是整理了2个模板,一个是HelloWorld的,另一个是通用模板LoadLibrary的模板。 开发环境masm32和vs2012,相关环境搭建我之前整理过[ http://blog.csdn.net/u013
2017-04-30 20:50:03 3065
原创 R3抹掉加载的DLL
R3抹掉加载的DLL 原理类似于获取Kernel32.dll加载地址,知道这个东西也是在看获取Kernel32.dll地址的时候在网上搜索学习资料,无意中看到的这个东西。这个挺有用,结合着HiJack的话效果会不错。思路是这样:FS--->TEB--->PEB--->PEB_LDR_DATA.InInitialzationOrderModuleList(细节偏...
2017-04-30 13:41:04 3787
原创 R3获取kernel32地址
获取Kernel32地址 如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数的地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。 对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是...
2017-04-30 12:41:41 2807
原创 Windows PE变形练手1-用PE自己的机器码修改自己的逻辑
PE变形练手1-用PE自己的机器码修改自己的逻辑 就是找一个PE文件,用自己的部分代码部分覆盖或者而修改自己另一个代码部分的补丁姿势(现实中使用很少,极少数破解可以用到。这次例子目的是了解PE)。第一个实验,写个例子。然后把函数1和函数2调换一下。代码如上,很简单。先输出111,在输出222.根据:可知,相关FOA main 0x440 main1 0x
2017-04-28 00:41:24 3630
原创 Windows PE 第十三章 PE补丁技术
PE补丁技术 这章很多东西之前都见过,也单独总结过,比如动态补丁里说的远程代码注入,还有hijack什么的。之前整理过的这里就不细说了,大体说下思路。这里总结一些之前没总结过的东西。 资料中把补丁分为两类,静态补丁和动态补丁。然后有总结了下补丁的基本要素:进程通讯能力、良好的读写其他进程地址能力、正确识别要补丁目标进程、在其他进程地址空间执行代码的能力。进程通信:管道通
2017-04-26 00:18:33 3277
原创 Windows PE 第十二章 PE变形技术
PE变形技术 这章东西太多,太细了。这里我只记录了一些重点概念。为后面学习做铺垫。 PE变形:改变PE结构之后,PE加载器依然可以成功加载运行我们的程序。一 变形常用技术:结构重叠技术、空间调整技术、数据转移技术、数据压缩技术。下面是相关概念只是(我只整理重点)1.结构重叠技术: 结构重叠技术是指在不影响正常性能的前提下,将某些数据结构进行重叠的技术。
2017-04-24 23:27:47 2406
原创 16.PHP_Ajax模拟服务器登录验证
Ajax模拟登陆验证index.phplanguage="javascript"> var http_request = false; function createRequest(url){ http_request = false; if(window.XMLHttpRequest){ //
2017-04-16 02:33:31 1713
原创 15.PHP_PHP与Ajax
PHP与Ajax 刚刚下班回来地铁上看的这一章,觉得这东西思路可以。确实解决了WEB的两个大的问题,流量和计算量问题。简单说下我的理解,然后在根据资料整理下学习笔记。两个问题:1.展示一个WEB网页,上面已经加载好了10张高清图片,然后有一个输入框,输入1,然后在输入框上面显示233。如果啥都不想的话,可以这样,通过表单把数据传到后台,然后后台接到1之后返回233,并且通过刷新页
2017-04-13 00:34:18 599
原创 14.PHP_PHP与XML技术
PHP与XML技术先把概念粘过来:先来个基本模板:下面的标签计算机图书>就是这个XML文档的根目录 -->计算机图书>书名>PHPXXX书名>价格 单位="元/本">23.3价格>出版时间>xxx-xxx-xxx出版时间>计算机图书> 接下来解释下细节:1.XML声明:只能出现一次,必须在第一行。如2.处理指令
2017-04-12 23:15:32 344
原创 13.PHP_ThinkPHP
ThinkPHP 先把百度百科上对这个框架的介绍粘贴过来: ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极
2017-04-09 16:50:47 813
原创 Win64 驱动内核编程-34.对抗与枚举MiniFilter
对抗与枚举MiniFilterMiniFilter是目前杀毒软件用来实现“文件系统自我保护”和“文件实时监控”的方法。由于MiniFilter模型简单,开发快捷,通用性好,以前用FSDHOOK或者标准过滤驱动来实现相关功能的杀软纷纷改用MiniFilter,比如卡巴斯基。不过,枚举MiniFilter就跟之前枚举回调的方法不太相同了,因为MiniFilter的...
2017-04-04 14:44:32 4849 1
原创 Win64 驱动内核编程-33.枚举与删除对象回调
枚举与删除对象回调对象回调存储在对应对象结构体里,简单来说,就是存储在ObjectType.CallbackList这个双向链表里。但对象结构体在每个系统上都不一定相同。比如WIN7X64的结构体如下:ntdll!_OBJECT_TYPE+0x000TypeList:_LIST_ENTRY+0x010Name:_UNICODE_STRING+0...
2017-04-04 14:09:01 5371
原创 Win64 驱动内核编程-32.枚举与删除注册表回调
枚举与删除注册表回调注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,则用来监控自启动等键值。 注册表回调在XP系统上貌似是一个数组,但是从WIN...
2017-04-04 13:11:33 2480
原创 Win64 驱动内核编程-31.枚举与删除映像回调
枚举与删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在PsSetLoadImag...
2017-04-04 12:50:14 2030
原创 Win64 驱动内核编程-30.枚举与删除线程回调
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。我们注册的进程回调,会存储在一个名为PspCreateProc...
2017-04-04 12:12:35 4478 1
原创 Win64 驱动内核编程-29.强制解锁文件
强制解锁文件强制解锁因其他进程占用而无法删除的文件。1.调用ZwQuerySystemInformation的16功能号来枚举系统里的句柄2.打开拥有此句柄的进程并把此句柄复制到自己的进程3.用ZwQueryObject查询句柄的类型和名称4.如果发现此句柄的类型是文件句柄,名称和被锁定的文件一致,就关闭此句柄5.重复2、3、4步,直到遍历完系统...
2017-04-03 19:17:27 3580
原创 Win64 驱动内核编程-28.枚举消息钩子
枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子:钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。 钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以截获鼠标消息,外壳钩子可以截获启动和关闭应用程序的消息,日志钩子可以监视和记录输入事件。
2017-04-01 00:42:32 4730 4
内存清理工具(加速球)
2016-12-09
屏幕像素点获取并设置鼠标位置为制定像素(源码)
2016-12-07
程序速度齿轮
2016-11-20
服务提权工具
2016-11-20
重新封装了下node-mongo服务.zip
2019-11-05
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人