- 博客(18)
- 资源 (64)
- 收藏
- 关注
RSS订阅转载 驱动保护中的ObjectType_Callback探索
最近学习驱动保护,有点小小心德与大家分享下。当前环境:VM中的win7 32 保护程序是某游戏的驱动保护。具体现象是:在用PCHunter工具查看object钩子时发现如下的信息: 疑问点1:在HOOK列显示的是ObjectType_Callback,以前只听说过ObjectType HOOK没听说过这个呀,这个是什么呢?疑问点2:Object类型列显示的是“Pro
2013-10-31 23:03:53
9544
转载 教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题:(1)怎么样在64位的Windows7操作系统下实现进程保护? (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊!(3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊?(4)
2013-10-31 11:56:58
10417
1
转载 遍历系统的所有ObjectType和TypeIndex
Windows内部有很多的对象类型,比如PROCESS类型,THREAD类型,FILE类型,LPC PORT类型,DEVICE类型等等,我们可以使用sysinternal提供的winobj工具来查看(win7 x86 sp1)在编程的过程中我们有时候需要用到类型的索引(TypeIndex),由于在不同的操作系统版本中TypeIndex会发生改变,本文将教大家一种方法来遍历这些类型还有其相应
2013-10-31 10:16:59
2266
转载 OBJECT_METHOD初窥
一、 背景:Windows NT 的对象机制Windows NT系统将各种资源以对象的方式进行组织和管理。虽然Windows NT内核使用C语言和汇编语言编写的,本身并未使用到C++中的面向对象机制。但依然通过抽象化的对象概念来对各类资源进行管理。 对象分为对象头和对象体两部分,对象头又分为标准的对象头和可选头部,后者这里不介绍。标准头部的定义如下:代码:typed
2013-10-31 09:04:31
2587
转载 Win7 OBJECT_HEADER之TypeIndex解析
Windows系统的对象管理中,为了能够从对象头获取对象类型指针,在Win7以前的系统里直接在OBJECT_HEADER里保存了POBJECT_TYPE指针,而这一点在Win7系统里发生了改变。Win7中把所有的对象类型放在了一个表里,这个表叫做ObTypeIndexTable。这个表可以这么定义:POBJECT_TYPE ObTypeIndexTable[0x100];Win7的对象头中
2013-10-30 15:00:53
3991
转载 Object Hook 简单介绍
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得快点,多多交流,互相学习,水平才能提高得快。 第一我们先看下OBJECT的组成 主要是3部分 如下图
2013-10-30 14:05:23
6528
转载 遍历创建进程、创建线程、加载模块的回调函数
大家都知道在内核环境下有三个函数分别可以设置Process, Thread, Image的相关通知函数,他们是PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine。在DDK里面都有详细的介绍。通过这三个函数,我们就可以设置历程,对进程建立和销毁,线程建立和销毁,以及模块加
2013-10-28 21:24:27
5778
转载 系统回调介绍
目的: 遍历系统中的回调类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以将相同的部分写成一个函数,一开始没注意,懒得改了。。。详细实现见代码环境: WIN XP SP3 大量使用硬编码,本次仅在于实现我的虚拟机环境下的遍历,没有考虑寻找通用方
2013-10-28 21:17:50
4746
原创 读书笔记之《Windows内核原理与实现》
最近学习《Windows内核原理与实现》发现起博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。函数函数名称所在页数_KeSystemStartup149_KiExceptionExit
2013-10-27 15:46:30
6145
2
转载 数组排序方法及C实现的总结
1、问题描述 数组排序(即按某种特定的顺序排列数据,如升序或降序)是最重要的计算应用之一,银行用帐号对所有的支票进行能够排序,并根据排序结果准备月底的财务报告,学校学生成绩管理系统用数组排序的方法将考试成绩从高到低进行排名,数组排序方法很多,有直接插入排序、冒泡排序、快速排序、直接选择排序,下面来详细介绍这四种基本的排序方法及其实现。2、方法总结 1)直接插入排序:数据表A中
2013-10-19 16:35:55
991
原创 EXCEL2013保存时提示Be careful!Parts of your document may include personal information...
在EXCEL 2013中创建VBA宏后,保存时出现如下提示:虽不影响保存结果,但是每次提示让人心烦,GOOGLE发现是因为有个检测功能造成的,关闭此功能路径如下:File->Options > Trust Center > Trust Center Settings > Privacy Options > "Remove personal information from file p
2013-10-19 15:05:36
14817
转载 EXCEL的扩展名xls与xlsm的区别
xls是2003版本下的文件 ,不管有没有宏程序的话都是xls文件 ,从2007开始做了区分,XLSM文件和XLSX文件都是excel2007及其以后的文件,但前者是含有宏启用,Excel中默认情况下不自动启用宏,默认是XLSX。VBA中,如果不想保存代码,可以保存为xlsx,即可自动删除其中VBA代码,反之则保存为XLSM文件。在默认情况下如果保持有宏的EXCEL文件会有如下提示:此
2013-10-19 11:58:03
25933
转载 VS 的makefile工程
自从IDE的出现简化了代码文件之间关联性管理后,就没多少愿意用makefile管理工程的了。makefile的语法规则也不复杂,加上后续的automake让编写的东西又简化了不少,但是相比IDE点一下build的操作来说依然是没有可比性的。各个平台下的IDE对工程文件的规则都不一样,想要工程跨平台唯一适合互通的也就只有makefile了,想必这也是目前makefile还依然活跃的重要理由之一吧。
2013-10-09 19:32:14
10375
转载 Windows页目录自映射方案
在Windows的虚拟内存管理方案中,有一个设计值得特别一提,那就是Windows页目录自映射机制。Dave Probert很早在一份讲义中提到了这一机制(称为self-mapping page tables),并且给出了清楚的解释(http://i-web.i.u-tokyo.ac.jp/edu/training/ss/msprojects/data/07-ProcessesThreadsVM.
2013-10-08 10:02:07
2109
转载 如何将WinDBG中命令的输出保存到文本文件中
从本质上说, 这个功能是WinDBG的日志功能的一个应用而已. WinDBG的log功能可以记录你在WinDBG中使用的每一个命令以及其对应的输出.那么如何开启WinDBG的日志功能呢?首先, 可以选择从命令行中启动WinDBG. 举例, 使用下面的带有-logo参数的命令:windbg.exe -logo c:\logfile.txt 其次, 如果你已经在一个de
2013-10-03 12:13:30
1852
转载 如何写windbg高级脚本---以访问文件的windbg脚本为例说明
最近需要在访问指定文件时中断下来,但不知道如何下断,在网上搜索了一番无果,只好自己摸索了。听大侠说windbg的条件断点功能异常强大,可以实现,不禁心痒,特尝试一番,顺便熟悉一下windbg的脚本语法。先来了解简单的,得到当前访问的文件名先写段C代码,创建C:\a.txt并往文件中写任意几个字符,代码如下: HANDLE hFile=CreateFile("C:\\a.txt
2013-10-03 11:12:52
1673
转载 WinDbg 脚本实例,可以显示 SSDT
$$ ntcall Script v0.1$$ by 小喂 2006.10.29aS ufLinkS "";aS ufLinkE "";r $t1 = nt!KeServiceDescriptorTable;r $t2 = poi(@$t1 + 8);r $t1 = poi(@$t1);.printf "\nOrd Address fnAddr
2013-10-03 11:10:39
1243
转载 debugger markup language帮助文档(DML)
Debugger Markup从6.6.07版的调试器开始,为了增强和扩展调试器的数据输出,将使用新的机制:debuggermarkup language (DML)。DML象HTML那样允许在一定格式的标记中包含指令和不显示的信息。调试器的用户界面将能分析额外的信息并提供新的特性。 DML的两个主要的功能: 链接相关信息。DML中的一个link标记能产生一个相关信息的链接
2013-10-03 10:47:41
1193
字体wps.zip 用于linux wps 使用
2020-03-16
Nat_Type_Tester_.rar
2019-12-26
msfupdate.erb
2019-11-04
fuzz工具 teenage mutant ninja turtles
2019-01-14
Sybase ASE 12.5.4 PC 客户端
2018-12-12
Win32 OpenSSL
2015-04-18
ActivePerl
2015-04-18
编写 Debugging Tools for Windows 扩展 实例
2014-04-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人