Windows System
文章平均质量分 58
cattom
这个作者很懒,什么都没留下…
展开
-
WFPdisable.exe的处理流程
一直不知道如何关闭WFP(Windows File Protection),进行反汇编了一下WFPdisable.exe,理出它的大概处理流程。HMODULE hSfc = LoadLibary( "sfc.dll" );//这个地方在该程序中声明的是对win2k sp4和winxp sp1适用,不知道对其他版本是否适用LPTHREAD_START_ROUTINE pThread = (LPT原创 2006-04-13 10:17:00 · 2228 阅读 · 0 评论 -
RasEnumConnections返回错误为632的分析
RasEnumConnections返回错误为632的分析按照MSDN调用RasEnumConnections的例子写成的代码如下: RASCONN RasConn; DWORD cb; DWORD Connections = 0; RasConn.dwSize = cb = sizeof(RASCONN); DWORD nRet = RasEnumConnections(&Ra原创 2006-04-13 10:22:00 · 3987 阅读 · 5 评论 -
Process-wide API spying - an ultimate hack 摘要翻译(二)
通过目标进程中挂钩所有对DLL的调用由于通过修改目标进程的输入表IAT只能对当前进程有效,所以我们即使对当前所有已加载模块都挂钩了对kernel32.dll的调用,但在这之后启动的进程将不会被挂钩。因此除了对已加载进程修改IAT以外,还需要修改kernel32.dll的输出表EAT。1、修改目标进程的IAT表对所有已加载的模块有效2、修改kernel32.dll的EAT表,所有将来加载的DLL翻译 2006-04-13 11:12:00 · 945 阅读 · 0 评论 -
Process-wide API spying - an ultimate hack 摘要翻译(三)
在已运行进程注入间谍DLL主体代码(文字说明放在代码的注释中):void inject(DWORD threadid,BYTE*remotebuff, HMODULE hMod, DWORD entrypoint,HANDLE processhandle,HANDLE eventhandle);void loadandinject(DWORD procid){ BYTE array[翻译 2006-04-13 11:19:00 · 972 阅读 · 0 评论 -
Win32服务程序对桌面的恢复
在运行时,去掉当前桌面很简单,SystemParametersInfo( SPI_SETDESKWALLPAPER, 0, "", SPIF_SENDCHANGE );对于任何用户和程序都是适用的,对于Win32服务程序也不例外。但对于一般的Win32 App只要发送SystemParametersInfo( SPI_SETDESKWALLPAPER, 0, NULL, SPIF_SENDCH原创 2006-04-13 10:21:00 · 916 阅读 · 0 评论 -
Process-wide API spying - an ultimate hack 摘要翻译(一)
简介 进程范围的API挂钩一般都是基于修改目标执行文件的输入函数表(IAT)。通过把目标进程中调用需要挂钩的API函数替换为用户编写的函数,达到挂钩的目的。当然一般情况下,用户的替换函数都是对API的传入参数进行记录或者验证,然后再调用挂钩的API函数。API Spy一般都是把进行Hook和Spy工作的驱动DLL文件通过一个控制程序注射到目标进程,驱动DLL文件和控制程序之间通过WM_C翻译 2006-04-13 11:05:00 · 999 阅读 · 0 评论 -
Defeating Native API Hooker
一、在用户空间修改系统服务调度表(SSDT)SSDT位于内核空间,如果要修改SSDT的入口函数,rootkit都是通过驱动程序的方式载入再修改的。然而在用户空间可以通过直接读写/device/physicalmemory来修改SSDT的入口。(译注:修改SSDT入口是可以在用户空间进行,只是SSDT的入口函数必须是在内核空间,所以一般rootkit都是把修改后的程序放在驱动程序中,以便直接加载到内翻译 2006-04-13 11:25:00 · 1659 阅读 · 0 评论 -
msn8.0去广告和搜索条
具体的方法是同事告诉我的,大致如下:用资源方式打开msgsres.dll文件,“4004”->“923”搜索”SSConstrainer”,然后前面位置的“layoutpos”的值修改为“None”搜索”idSearchContainer”,然后前面位置的“layoutpos”的值修改为“None”原创 2006-04-13 11:27:00 · 1167 阅读 · 1 评论