来自工作
文章平均质量分 79
aspbasicer
这个作者很懒,什么都没留下…
展开
-
今天遇到的病毒
分析病毒有些日子了,不过昨天见到的一个病毒还真是有点头疼,那东西释放了一个DLL和一个SYS,那个SYS是个驱动,另外,它还创建了HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/TCPG4T这个键,通过这个键来引导TCPG4T.DLL。这个方法以前没有见过。TCPG4T.dll做了很多事,有下载文件的,监视注册表的原创 2005-07-22 14:08:00 · 1100 阅读 · 1 评论 -
监视API调用的一个小程序
工作一段时间了,我喜欢工作,但是,工作确实很累,压里很大~所以我就得每天好好的学习,抓进一切时间学习,于是,我就APIHOOK这个主题进行了一番演练:监视API调用的一个小程序,原理是根据远程进程的导入目录和IAT,查找API的名字、所属的DLL和入口地址,然后让所有导入的API都指向同一个函数,这个函数由我的DLL导出,完成输出API调用的功能,我也说不清楚,反正核心就是APIHOOK。////原创 2005-07-28 01:29:00 · 4228 阅读 · 0 评论 -
用IDA看ntdll的时候写的
今天看到了NtQuerySystemInformation()这个函数,就用IDA反了下ntdll.dll,发现了一个很有意思的事。我以前就知道XP下已经用sysenter指令代替了int 2eh来进入Ring0,但是没有想到的是,在NTDLL中,sysenter被封装到了KiFastSystemCall中,我看了几个需要进入Ring0的API,最后都调用KiFastSystemCall来执行sy原创 2005-07-27 00:32:00 · 3739 阅读 · 2 评论