ccx_john的专栏

畅想时间

重载内核全程分析笔记

标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDe...

2014-03-04 17:24:29

阅读数 519

评论数 0

关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏,照样能HOOK成功 确实,我当时也是这样过。。。 不过拿给别人机器一测试就蓝了 网上找到了MJ给出的答案: 当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的 HKEY_LOCAL_MACHINE\SYS...

2014-03-04 15:41:05

阅读数 755

评论数 0

做了个隐藏进程跟保护进程的小工具

只支持1.24E,因为我们局域网都玩这个版本。。。以后可能会加入对其他版本的支持 1.改键是用低级键盘钩子写的,以后会加入保存英雄改键记录功能,类似溪流的warKey。 2.显蓝用的是别人的DLL 3.踢人还是HOOK SEND 4.全图就是写地址呗。。。 源码完善后放出,另外没测试平台,应...

2014-03-04 15:40:14

阅读数 1408

评论数 0

一步一步教你写DOTA外挂

好久木有研究DOTA了,整理篇小菜文章。 首先,我们要提升外挂本身程序权限,使其能够有权限修改war3游戏的内存。这个c++可以使用如下代码 [cpp] view plaincopyprint? void EnableDebugPriv()//提升程序自身权限   ...

2014-03-04 15:39:04

阅读数 1311

评论数 0

多开限制的原理

1.创建新节法         为程序加入一个全局变量,让这个全局变量可以被程序的多个实例所共享,每当程序实例运行时就对该全局变量进行修改。通过访问该全局变量,就可以知道有多少个实例在运行了。当然,为了系统的安全和稳定性,默认情况下是不允许这样做得。为了阻止这种事情的发生,系统使用了copy-o...

2014-03-04 15:37:41

阅读数 1138

评论数 0

多开限制突破

1.Findwindow突破        bp FindWindowW,运行程序断下来,执行到返回,来到下面 [cpp] view plaincopyprint? 004F0E5C    8BF4            mov esi,esp  004F0E5E    ...

2014-03-04 15:36:33

阅读数 877

评论数 0

热血江湖V60000喊话

1.       喊话CALL 查找思路:在聊天窗口输入一段文字,在CE中扫描这段文字的内容,wwh Evil0r 区分大小写,最终找到两个地址,一个是编辑框里面显示的内容,一个是真正喊话的内容 查找访问编辑框内容(因为喊话肯定要读取这个编辑框的内容):4403a9 OD进入分析,转到该地...

2014-03-04 15:35:00

阅读数 481

评论数 0

QQ2011多开的实现

先运行一个客户端A,然后再打开一个客户端B,发现直接激活前一个实例。 我们开着客户端A,OD加载再一个客户端 F8单步走,发现跟到 这个CALL的时候激活客户端A了,在这个CALL下断,CTRL+F2重新载入一下,F9运行断下来,执行到这个CALL我们F7跟进去 然后F8再单步走,发现执行...

2014-03-04 15:31:52

阅读数 426

评论数 0

过QQ游戏大厅的SX保护

早些时间看郁金香的教程,写过qq游戏练练看的挂,那时候CE附加QQ游戏大厅的时候貌似是没有任何保护的,昨天舍友让做个斗地主的记牌器,但是,我用CE附加的时候,被检测到了,其实不附加也会被检测,所以猜测可能只是检测窗口进程或是模块名称啥的吧,被检测到的时候主程序会退出,但是那个对话框还在,就是那个S...

2014-03-04 15:30:00

阅读数 642

评论数 0

在WinDBG中设置断点的命令

转自:http://www.cnblogs.com/awpatp/archive/2011/01/02/1924085.html 命令 ========== ~0 bp 02sample!KBTest::Fibonacci_stdcall "r esp" ...

2014-01-10 12:48:17

阅读数 558

评论数 0

如何将WinDBG中命令的输出保存到文本文件中

转自:http://www.cnblogs.com/awpatp/ 从本质上说, 这个功能是WinDBG的日志功能的一个应用而已. WinDBG的log功能可以记录你在WinDBG中使用的每一个命令以及其对应的输出. 那么如何开启WinDBG的日志功能呢? 首先, 可以选择从命令...

2014-01-10 12:47:59

阅读数 482

评论数 0

WinDBG命令概览

转自: http://www.cnblogs.com/awpatp/ WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令. =============== 标准命令 =============...

2014-01-10 12:47:35

阅读数 504

评论数 0

Windbg本机调试kernel

File-> kernel debug -> 弹出窗口上方,最右边那个选项卡Local ->点yes 即可 系统必须是:WIN XP或以上的操作系统,其他都不行 接下来就可以调试kernel了。Windbg命令很多,我将一点一点的学习,下面先学几个常用的命令。 ...

2014-01-10 09:58:56

阅读数 598

评论数 0

Hook过滤架构搭建,仿照360(转)

http://bbs.pediy.com/archive/index.php?t-116033.html 仿照了下360 的过滤架构,搭建了个Hook 框架,360的Hook架构的确很优秀,我觉得很值得我们学习与研究。这里我按照大牛们已经逆向出来的思路实现了下代码(都逆向出来了坐下代码工作不...

2014-01-09 20:44:58

阅读数 812

评论数 0

内核级利用通用Hook函数方法检测进程

作者: 51cto  CNETNews.com.cn  2007-10-27 14:55:55   在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了大量的寄存器,而很多寄存器的值,是上层调用者提供的。如果值改变系统就会变得不稳...

2014-01-08 09:25:08

阅读数 472

评论数 0

分析了一下360安全卫士的HOOK

分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简...

2014-01-07 12:26:32

阅读数 817

评论数 0

在驱动中判断系统是否运行在安全模式

方法一: 通过内核导出的变量。 Windows 内核导出了一个变量.一个 ULONG 类型的指针.InitSafeBootMode .用于确定系统运行于何种模式下.驱动程序可以用这个导出的变量来判断系统当前处于何种模式下.下列是关于这个变量的一些取值的说明:Value Mode 0 The o...

2013-11-14 12:00:04

阅读数 881

评论数 0

_EPROCESS

下面的一部就是向WIN32子系统传递信息,包括新建的进程线程句柄。创建标志中的项以及ID和确认其属于WIN32应用程序的标志。后面就是初始化线程并完成整个进程的初始化。 这个过程中,需要详细说明的就是设置EPROCESS结构(也叫KPEB)。每个Windows 2000进程都由一个执行程序进程(...

2013-11-14 11:58:22

阅读数 624

评论数 0

反病毒引擎设计之实时监控篇

编者按:绪论《反病毒引擎设计之虚拟机查毒篇》我们重点对虚拟机查毒进行了阐述。下面看看如何对病毒实时监控。 目录 3.1实时监控概论 3.2病毒实时监控实现技术概论 3.3WIN9X下的病毒实时监控 3.3.1实现技术详解 3.3.2程序结构与流程 3.3.3HOOKSY...

2013-11-11 13:41:22

阅读数 3119

评论数 0

Rootkit hook之[三] Inline Hook

标 题: 【原创】rootkit hook之[三] inline hook作 者: combojiang 时 间: 2008-01-30,17:27:57 链 接: http://bbs.pediy.com/showthread.php?t=59127 最近为了写好rootkit ...

2013-10-26 14:17:25

阅读数 524

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭