- 博客(13)
- 收藏
- 关注
RSS订阅原创 仿真WINDOWS PE加载器的程序
此程序用来仿真PE加载器,可以直接运行内存中的程序。 bool PELoader(char *lpStaticPEBuff, long lStaticPELen){ long lPESignOffset = *(long *)(lpStaticPEBuff +
2009-09-08 14:54:00
2004
2
原创 一个内核级的SHELL工具源代码
信息来源:WhiteCell技术论坛 驱动部分;@echo off;goto make;********************************************************************;author :dge;homepage:http://llfdge.googlepages.com/;date :2007.3.16;*********
2009-09-07 17:26:00
890
原创 windbg 使用
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟
2009-08-24 10:06:00
4917
原创 PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
2009-08-20 11:31:00
4903
原创 SSDT原始地址, 现在地址
#include #include #include #include #include #define ibaseDD *(PDWORD)&ibaseHINSTANCE g_hInst;HWND hWinMain,hList;#define ID_LISTVIEW 104#pragma comment(lib,"comctl32")typedef ULONG NTSTATUS;#defi
2009-08-20 08:45:00
1507
原创 RING3下SSDT原始地址的获取
#include "stdafx.h"#include #include using namespace std;#define RVATOVA(base,offset) ((PVOID)((DWORD)(base)+(DWORD)(offset)))#define ibaseDD *(PDWORD)&ibase#define STATUS_
2009-08-19 17:52:00
2436
原创 ring3 恢复SSDT
// IATHOOK.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include #include #include #include using namespace std;#define STATUS_S
2009-08-19 16:09:00
1737
原创 获得DISK的DeviceObject
获得DISK的DeviceObject很久没有写代码了,最近简单的看了一下disk相关的东西,写了段代码share一下。先用livekd看一下Disk.sys DriverObject的一些信息:kd> !drvobj /driver/diskDriver object (89885a08) is for:/Driver/DiskDriver Extension Lis
2009-08-19 15:28:00
859
原创 内核中获取进程路径学习
NTSTATUS PsGetProcessPathByPid( IN ULONG Pid ,char* FilePath){NTSTATUS status;char path[256] = {0};char disk[10] = {0};STRING ansi_path;STRING ansi_d
2009-08-19 15:12:00
1284
原创 PE导出/输入表————文件影射
#include "stdafx.h"#include #include #include using namespace std;#define PCTSTR const char *ULONG Rav2Raw(PVOID pFileData, ULONG rav){ PIMAGE_DOS_HEADER pDosH; PIMAGE_NT_HEADERS p
2009-08-19 14:33:00
878
原创 寻找原始表,恢复 ssdt 表 RING3
标 题: 【原创】寻找原始表,恢复 ssdt 表作 者: dummy时 间: 2007-08-17,19:28链 接: http://bbs.pediy.com/showthread.php?t=49848// 只贴 ring3 部分,这也是最主要的代码,驱动只是负责把得到的原始值写到 ssdt,其他啥也不做// 简单说一下,找 KiServiceTable 表过程, 是直接读
2009-08-19 10:52:00
2252
1
原创 INLINE HOOK RING0
/字节型数据 unsigned charULONG CR0VALUE;BYTE OriginalBytes[5]={0}; //保存原始函数前五个字节 BYTE JmpAddress[5]={0xE9,0,0,0,0}; //跳转到HOOK函数的地址 extern POBJECT_TYPE *PsProcessTy
2009-08-19 10:34:00
1765
原创 IAT HOOK RING3
#include "stdafx.h"#include #include // 挂钩指定模块hMod对MessageBoxA的调用BOOL SetHookApi(HMODULE hMod);// 定义MessageBoxA函数原型typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType);/
2009-08-19 10:30:00
1623
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人