- 博客(37)
- 收藏
- 关注
RSS订阅转载 Tssyskit
#define TSSYSKIT_CTL_CREATEKEY0x222408 // ZwCreateKey()#define TSSYSKIT_CTL_KILLPROCESS0x222004 // ZwTerminateProcess()#define TSSYSKIT_CTL_OPENANDDELETEKEY0x222008 // Zw...
2010-12-04 22:15:00
281
转载 [note]windbg无故不显示command窗口.
选择 windows->cascade floating windows 即可.转载于:https://www.cnblogs.com/Tbit/archive/2010/11/14/1876997.html
2010-11-14 15:45:00
265
转载 [note]RegMon驱动分析笔记(一)
///////////////////////////////////////////RegMon学习与分析//////////////////////////////////////////////////////////////////////////////////1.注册表回调机制///////////////////////////////////////应用程...
2010-11-12 22:37:00
239
转载 [note]贴个能获取Csrss.exe PID的函数
1 //////////////////////////////////////////////////////////// 2 // 3 // ¹¦ÄÜÃèÊö: »ñȡϵͳÐÅÏ¢ 4 // ÊäÈë²ÎÊý: Òª»ñȡϵͳÐÅÏ¢µÄÀàÐÍ 5 // Êä³ö²ÎÊý: ·µ»Ø´æ·Å»ñÈ¡µÄÐÅÏ¢µÄ»º³åÇøµÄÖ¸Õë 6...
2010-11-08 20:39:00
219
转载 [ZZ]转文章一篇~价值观
转载自MJ的BLOGMJ是转载自ICBM的BLOG出来工作有两年了,感觉自己从最初的过于理想化变得过于现实。这篇文章让我内心有些震动。1. 不仅仅为了赚钱青年人容易犯的一个大错误,就是太关注钱,将金钱作为衡量成功的唯一标准。实际上,钱的作用在于,你能用它来干自己想干的事。钱本身并不是生活的目的,你自己想干的事才是。钱就好比汽油,生活的目的不是为了获得汽油,而是...
2010-11-08 13:44:00
106
转载 [1.1]MBR感染
MBR感染,是DOS时代的事情了..那个时代的Dos机需要一个1.44MB大小的软盘来作为启动盘,于是MBR病毒就会大肆的感染MBR区,也感染了软盘的MBR...呵呵..现在的windows不需要通过软盘来启动了..但是现在的MBR感染应该不叫MBR感染了..叫改写了MBR区..windows下对MBR改写的可以参考下charme同学的<<MBR另类感染技术>...
2010-10-30 16:47:00
130
转载 [1.0]剖析MBR
系统启动过程主要由一下几步组成(以硬盘启动为例): 1. 开机 :-) 2. BIOS 加电自检 ( Power On Self Test -- POST ) 内存地址为 0ffff:0000 3. 将硬盘第一个扇区 (0头0道1扇区, 也就是Boot Sector) 读入内存地址 0000:7c00 处. 4. 检查 (WORD)...
2010-10-28 16:29:00
129
转载 [0.0]Windows启动过程概述
1.x86和x64引导过程中所涉及的组件1--MBR: 读入和加载分区的引导扇区;2--引导扇区: 读入根目录,以加载ntldr;3--NTLDR: 读入Boot.ini,提示引导菜单,加载Ntoskrnl.exe,Bootvid.dll,Hall.dll和引导启动的 设备驱动程序.如果引导的是一个32位系统,则切换到32位保护模式;...
2010-10-28 11:35:00
83
转载 从MBR Rootkit 谈起...
今天复习 windows internals 4th 的时候,看到chatper5,关于windows启动和停机的..突然想把这些开机启动的Rootkit技术,好好梳理一遍,下面列个目录吧,后续内容慢慢研究补上.[0.0]----Windows启动过程[1.0]----剖析MBR[2.0]----调试NTLDR[3.0]----分析Stoned Bootkit[4...
2010-10-27 19:58:00
144
转载 [note]chapter3--系统机制(IDT,GDT,SSDT,shadow SSDT)
这一章讲的有点多,与很多RK技术相关的也不少.具体来分析的话,想详细的剖析下以下知识点1.系统机制:@ IDT@ GDT@ SSDT@ Shadow SSDT@ 增加一个系统服务分发上面这些,包括一些HOOK技术,可能都显得很古老了,但是真正剖析和理解清楚,还是需要下一番功夫的.2.windows对象管理详解3.WinObj的设计与实现...
2010-10-13 11:48:00
203
转载 [note]chapter2--系统结构
这一章讲述的比较宏观,没太多细节可以分析的.需要注意的几个地方.1.Windows子系统Csrss.exe包含对下列的支持:@ 控制台窗口@ 创建或删除进程和线程@ 对16位虚拟DOS机进程的一部分支持.关于Csrss.exe以后再详细剖析了.附上盟主的一篇文章<<详解进程创建中与csrss的通信流程>>Win32k.sys包...
2010-10-13 11:37:00
82
转载 说下最近的自己....
最近精神状态一直都不是很好,学习上更是稀里糊涂,感觉缺乏激情了..呵呵,感觉自己身体也不好了...很多时候感觉自己学的有点人云亦云的味道.于是很多时候就缺乏了,对基础知识的巩固.其实很多东西,都只是在原来基础上稍微改变下的,只要底子好点,思路活点,技术不是问题.觉得自己应该收敛下心神.把精力好好的放在Windows内核上,追求内核学习的精益求精.尽管现在还只是...
2010-10-13 10:27:00
64
转载 [ZZ]Windows磁盘驱动基础教程
本文讲述Windows磁盘驱动的主要结构功能与编写方法基础。本文描述的内容仅限于软件层面,并不与具体的硬件相关。 1.磁盘驱动基础 不少人把文件系统驱动和磁盘驱动混为一谈。实际上文件系统驱动应该与磁盘驱动是两类不同的驱动程序。文件系统仅仅考虑数据在存储设备上的保存格式(而不考虑具体是什么存储设备),而磁盘是存储设备的一种。 在存储设备驱动(storage driver...
2010-10-08 21:43:00
91
转载 [note]贴一些常用的串指令,方便查阅
MOVSLODSCLDCMPSSTOSREPSTDSCAS MOVS ( MOVe String) 串传送指令MOVB //字节串传送 DF=0, SI = SI + 1 , DI = DI + 1 ;DF = 1 , SI = SI - 1...
2010-10-02 00:01:00
95
转载 [note] 贴一段能实现文件隐藏的Minifilter
#include <fltKernel.h>#include <fltKernel.h>#include <dontuse.h>#include <suppress.h>#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for ker...
2010-10-01 01:32:00
192
转载 [zz]wdk minifilter 自带示例的简要说明
最近要用wdk 7 的minifilter做一个文件过滤的东西,苦于没有资料可用,明明知道 winDDK\src\filesys\minifilter的范例很有用,但就是无从下手,google了半天(SB google.cn刚换马夹变成了google.hk,速度叫个慢哟),最终还是抱上了msdn的大腿, 居然在MSDN library> win32 and com developm...
2010-09-24 23:10:00
132
转载 [note]Minifilter框架程序
Windows的fltMgr.sys提供了一个I/O过滤框架,它允许一种被称为文件系统微过滤驱动(MiniFilter)的dirver被加载到系统中.并向FltMgr注册它要过滤的哪些I/O操作.FltMgr是文件系统过滤管理器,它提供了一个管理框架,以方便开发人员编写文件驱动过滤程序(File System Filter Driver--FSFD).可过滤的I/O操作包...
2010-09-24 23:08:00
230
转载 [note]Windows缓存管理机制分析(一)
1.Windows的缓存管理器概述1.1 缓存管理器介于内存管理器(VMM)和文件系统驱动程序(FS)之间,它包含一组以"Cc"打头的内核模式函数,全局变量,以及一些系统线程.1.2 缓存管理器(CM)以虚拟块(Virtual Block)为基础来缓存数据, 这使得可以在不涉及文件系统驱动程序的情况下进行智能预读((Read_Ahead)和延迟(Lazy_Write...
2010-09-20 15:15:00
601
转载 [note]枚举进程之二(句柄表分析篇)
继续接着上篇,这一篇说下句柄表,关于handletable,其实也已经相当科普了~基础知识还是学习下吧.继续引用下V大的思路.3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的handletable获得进程表g在解释如何通过这...
2010-09-18 03:23:00
285
转载 [note]枚举进程之一(基础科普篇)
关于进程的枚举,以及查看进程信息,和查杀进程...等等..都是很古老的东西了,但是基础是改变不了的.首先看看关于进程的枚举吧,当前ark的驱动枚举进程,离不开V大的这个思路表(如下):killvxk的驱动查进程:1.native api获得进程表a2.通过activelist获得进程表b3.通过pspCidTable获得进程表c4.通过handletablelisthe...
2010-09-16 22:36:00
122
转载 [扯淡]今天下午的意淫..
今天上午看了下关于sfliter的src,结果看了一会儿,就躺在床上睡着了..没去上课.吃完午饭,看了下tk教主的blog,于是就开始断断续续的挖坟墓起来了..把tk教主的blog看了个遍~于是我的思维也开始不间断的跳跃起来,其实硬件还挺好玩的..一直没玩过..哈哈..从cpuid指令跳到了 RFID,其实我自己一直对RFID技术感到神奇,呵呵..基本可以从<&...
2010-09-01 16:03:00
118
转载 [mark]关于FS的一点点资料链接..
1.File System Filter Driver Tutorialhttp://www.codeproject.com/KB/system/fs-filter-driver-tutorial.aspx2.NTFShttp://www.codeproject.com/info/search.aspx?artkw=File+System3.Undelete a file...
2010-08-30 22:45:00
88
转载 [zz]古老的MBR感染---MBR/BS Infection
1.Introduction============== In my search for knowledge, I found many tutorials out there that werecreated to show the user how to code a simple boot sector virus. Although thetutes were very g...
2010-08-25 23:00:00
260
转载 [zz]一个简单加密病毒的框架
.386p.model flat ,stdcalloptions casemap:nonejumps.data.codeVirusStart:;重定位calldeltadelta:popebpmoveax,ebpsubebp,offset deltasubeax,RedundatSizesubeax,1000hNewEip equ $-4movd...
2010-08-25 09:19:00
167
转载 [note]注册表之HIVE
1.HIVE结构 首先,要明白的是注册表是由多个hive文件组成. 而一个hive是由许多bin组成,一个bin是由很多cell组成. 而cell可以有好几种类型.比如keycell(cm_key_node)valuecell(CM_KEY_VALUE)subbkey-listcell,value-listcell等 当新的数据要扩张一个hive时,...
2010-08-08 01:51:00
218
转载 近期的学习和研究计划
近期的学习和研究计划:主要是围绕xuetr的仿写来研究:但是要考试了,真TM悲剧啊~~~1.MFC的学习一直多没怎么写界面,而且C++也落下一年没看了,MFC去年暑假搞了一下,没深入了,能把界面整出来就好~~侯杰的<MFC深入浅出>,<VC++技术内幕>2.关于内核的一些计划和资料: 1.进程和内核模块参考部分 实现进程查看,具体见xuetr,相...
2010-06-05 11:36:00
114
转载 乱七八糟的,mark的东西...
搞了一个下午了,把混乱的思绪整理下,留着以后参考吧.想仿写linxer牛的Xuetr,先把简单的一些整整吧,菜就菜吧,反正一直多这么菜.没整gui,先把思路和一些乱七八糟的代码搞定的说.关于进程查看.1.遍历EPROCESS中的ActiveProcessLinks枚举进程2.貌似这个也不是很稳定,记得查看下PsLookupProcessByProcessId(goog...
2010-05-29 19:47:00
65
转载 关于大三童鞋们最近的面试情况,自己亦有所感..mark之...
大三的几位童鞋参加了TX公司的,暑假实习生招聘,过了笔试,今天进行了一面.听他们反馈回来的情况,不是很理想啊.朱童鞋因为一个二分法的算法而感到很悲剧..小正因为那个"没有微软的导出的宏,怎么得到SSDT的索引",而感到很是无语... 唉,感觉自己也得加油了..靠..还有很多需要学习啊.. 算法偶是很悲剧..内核编程也是很菜很菜...然后汇编也已经忘的差不多了.....
2010-05-18 16:10:00
72
转载 LockSuite的设计方案(Mark一下~~~)
LockSuite的设计方案.LockSuite的实现目标:为用户提供更好的隐私保护.包含以下几个模块:1.LockMouse:锁定鼠标的移动范围.2.LockKeyboard:锁定键盘,可以设定热键来进行解锁.比如ctrl+u3.LockScreen:锁定屏幕,同样可以设定热键来解锁4.LockEXE:锁定EXE文件,即PE文件.为应用程序加把锁....
2010-05-13 22:13:00
61
转载 [note]KTHREAD结构相关
在用户模式下,段寄存器FS指向当前线程的TEB,所以FS:[0X18]就是指针Self,其内容就是TEB的起点.在内核模式下,FS指向的是KPCR(Kernel's Processor Control Region)结构,而mov reg,FS:[124h] //reg可表示eax,edx,ebx,.....这样就能获得当前线程的指针(KTHREAD结构体)现在...
2010-05-12 18:17:00
292
转载 感谢下RB大哥.
还是很感谢RB大哥给我的帮助,写此文mark下吧.然后又很ws的和RB大哥扯了很久.最后被RB大哥说动了.于是我那买书的念头又是毫不犹豫的产生了.RB大哥推荐了几本.<windows内核的原理和实现> 潘爱民著<IDA Pro 权威指南>,Author: Chris Eagle(这本书的英文名字是The IDA Pro Book: Th...
2010-05-12 00:19:00
89
转载 [zz]Windows内核技术的精华站点
推荐的有关驱动的网站http://www.osronline.com,技术含量很高的Windows驱动开发站点,该站点的list基本上覆盖了所有Windows驱动开发的常见问题,强烈推荐; http://www.microsoft.com/whdc,微软的驱动开发资源主页,可以获取很多官方资料; http://www.wd-3.com/,该站点收集了一些比较好的Win...
2010-05-12 00:02:00
71
转载 [zz]深入Native应用程序
深入Native应用程序版权所有1998MarkRussinovich翻译:MJ0011最后更新:1998年2月8日导言如果你对WindowsNt结构有一定的了解,你可能会知道,Win32应用程序所使用的API,并非是"真正"的NTAPI。POSIX,OS/2和Win32,这些WindowsNT操作系统环境,使用他们自己的API同他们的客户应用程序进...
2010-05-11 10:37:00
141
转载 剖析一个典型的Keyboard_Hook
//本人巨菜,纯粹的学习笔记//高手飘过就可以了//不当之处还请指出,谢谢了.//先mark下,回头再弄,笔记本没电了...1.键盘过滤2.深入native application3.进程与线程 EPROCESS 分析//关于I/O堆栈1.当前设备堆栈不对IRP做任何处理.//给出一个通用的DispatchCommon函数NTSTATU...
2010-05-11 01:28:00
336
转载 很高兴...
其实这几天多有在想TT同学,和TT同学打电话,我其实真的很开心. 那种说不出的快乐,那种打完电话后,依然能让我回味很久的感觉: 喜欢听TT同学的笑, 喜欢听TT同学讲这些天发生那有趣的事情. 喜欢听TT同学说自己的理想和学习... 同时也害怕自己不大会说话,让彼此的谈话陷入沉默.... 还有那拨打电话前的犹豫和踌躇,怕TT同学在...
2010-04-05 14:46:00
68
转载 推荐点书,说点学习路线...
[乱弹学习] by Tbit;=========================================================================================0.扯淡的一些话;=========================================================================...
2010-04-01 01:14:00
163
转载 驱动学习笔记 之 认识驱动架构
1.NT 驱动的构架 1.1 入口函数: DriverEntry 接受两个参数, pDriverObject,该参数有I/O管理器传递. 驱动对象 pRegisterpath ,驱动程序在注册表中的路径 DriverEntry主要实现以下功能: 1,注册其他驱动调用函数的入口: 有DriverUnload...
2010-03-31 18:02:00
84
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人