daiyu22-CSDN博客

原创如何写自己的壳

Writing Your Own Packer - by BigBoote --------------------------------------------------------------------------------Intro Why write your own packer when there are so many existing ones to choose fro

2008-07-11 23:07:00 1642

转载简单调试器框架

// silent.cpp : Defines the entry point for the console application.//#include "stdafx.h"int main(int argc, char* argv[]){ STARTUPINFO si; PROCESS_INFORMATION pi; char temp[100]; ZeroMemory(t

2008-06-10 23:33:00 529

转载 SEH：结构化异常处理

结构化异常处理是一种操作系统提供的机制,用来优化程序的结构,提供更加健壮的程序执行环境.试想想你写程序不用考虑哪里有个内存访问错误,哪里有个空指针等等一类的错误,一直按照程序的逻辑结构向下写,而不用去检查函数是否成功,这会是多么愉悦的事情(这个乃是seh的宣传词,不代表我的观点,这里完全是无责任应景之语). 结构化异常处理---seh,是一个操作系统级的概念,操作系统为每个线程(windows平台

2008-06-10 23:32:00 711

转载 Kmdtut 11---目录与文件

11.1 核心句柄表11.2 FileWorks驱动程序源代码11.3 创建目录与文件11.4 文件对象11.5 写入文件11.6 修改文件属性11.7 读取文件11.8 向文件追加数据11.9 截短文件11.10 删除文件与目录11.11 列举目录内容源程序: KmdKit/examples/basic/FileWorks提供对文件的读写功能是操作系统的一项重要任务。我们来看一下N

2008-06-10 23:31:00 554

转载 Kmdtut 10---注册表

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-145710.1 注册表的结构10.2 在驱动程序中访问注册表10.3 RegistryWorks驱动程序源代码 10.3.1 注册表键的创建与打开 10.3.2 创建注册表键值 10.3.3 访问注册表键值 10.3.4 删除注册表键 10.3.5 更新注册表键源代

2008-06-10 23:30:00 444

转载 Kmdtut 9---共享内存

9.1 SharingMemory驱动程序源代码9.1.1 DriverEntry函数9.1.2 DispatchControl函数9.1.3 Memory Descriptor List9.1.4 Cleanup函数9.2 SharingMemory应用程序源代码源代码：KmdKit/examples/basic/MemoryWorks/SharingMemory在上一个例子Sha

2008-06-10 23:29:00 455

转载 Kmdtut 8---共享Section通讯

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1455共享Section通讯董岩译8.1 结构化异常处理8.1.1 seh驱动程序源代码8.1.2 建立 SEH-frame8.1.3 异常处理8.1.4 卸载SEH-frame8.1.5 使用宏来建立/卸载SEH-frame8.2 共享Section通讯8.2.1 Shar

2008-06-10 23:27:00 619

原创 Kmd教程7-后备列表

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1454【在这里下载本文的源代码】7. 后备列表本篇翻译：songsong 源代位置：KmdKit/examples/basic/MemoryWorks/LookasideList 我回来了，对门的那个白人MM听说我是黑客（其实长得黑而已）对我特崇拜，差点要以身相许，幸亏咱意志坚定…

2008-06-10 23:26:00 499

转载 Kmd教程6-系统内存堆

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1453【在这里下载本文的源代码】6. 系统内存堆本篇翻译：songsong 源码位置：KmdKit/examples/basic/MemoryWorks/SystemModules 首先是罗云彬的废话：感谢刘松一起参与这个翻译项目，这样本教程的中文翻译才能这么快和大家见面，刘松是温

2008-06-10 23:24:00 619

转载 Kmd教程5-全功能的驱动程序分析

5. 全功能的驱动程序分析※ 本篇的源代码同第4节的源代码：KmdKit/examples/simple/VirtToPhys5.1 VirtToPhys驱动程序的源代码现在是到看看一个全功能驱动程序源代码的时候了，这里就是：;@echo off;goto make;::::::::::::::::::::::::::::::::::::::::::::::::::::::::

2008-06-10 23:22:00 905

转载 Kmd教程4-I/O子系统

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1451【在这里下载本文的源代码】4. I/O子系统※ 和本节内容相关的源代码见KmdKit/examples/simple/VirtToPhys4.1 I/O管理器在用户模式下，我们可以通过访问某个地址来直接调用dll中的函数，与此不同的是，从系统的稳定性考虑，在内核模式下这样做

2008-06-10 23:21:00 726

转载 Kmd教程3-最简单的设备驱动程序

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1450【在这里下载本文的源代码】3. 最简单的设备驱动程序※ 和本章内容相关的源代码见：KmdKit/examples/simple/BeeperKmdKit/examples/simple/DateTime3.1 如何编译和链接内核模式驱动程序我总是把驱动程序的汇编源代码放到批

2008-06-10 23:19:00 1052

转载 Kmd教程2-服务

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1449【在这里下载本文的源代码】2. 服务※ 和本节对应的例子代码见KmdKit/examples/simple/Beeper 读者也许有点疑惑：用户模式的服务关内核模式的驱动程序什么事呀？事实上，两者的确风马牛不相及，但是如果我们要和设备驱动程序通讯的话，我们必须首先安装它，启动

2008-06-10 23:17:00 1083

转载 Kmd教程1-内核模式驱动程序基础

转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-14481．Kernel Mode驱动程序基础本教程讲述了如何在Windows NT为基础的操作系统上用Win32汇编开发KMD，包括NT4.0、2000、XP和2003等操作系统。开发Windows 95/98/ME使用的VxD驱动程序方面的知识并不在本教程讲述的范围内，另外，毫

2008-06-10 23:12:00 591

转载 MS-07004分析和利用

相信大家对去年的MS06-055还记忆犹新吧，微软的矢量标记语言VML中的Method变量IE未对其进行长度进行检查，导致了一个栈溢出漏洞。2007年的新年钟声刚刚敲响，又一个关于VML的漏洞曝光了，CVMLRecolorinfo::InternalLoad() 中的recolorinfo 方法中存在整数溢出，milw0orm上国外有人第一时间公布了poc代码，无疑为我们的分析过程提供了方便，我们

2008-06-10 13:53:00 455

转载 WinRAR 7z压缩包处理溢出分析和利用

文/图孤烟逐云（gyzy）【江苏大学信息安全系 & 邪恶八进制信息安全团队】 security.nnov.ru在06年底的时候发布了一个针对WinRAR 7z溢出的POC，可以导致执行恶意代码，可能有些朋友认为7z格式出问题不是那么严重，但WinRAR有个不算Bug的Bug：它是不认扩展名的，这意味着7z格式的压缩包扩展名改成rar还是能被解压，这就给恶意利用创造了机会，嘿嘿。WinRAR

2008-06-10 13:51:00 548

转载修改引入表打造穿透KIS6的下载者

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774058.aspx每个引入的DLL都会用一个IMAGE_IMPORT_DESCRIPTOR表示，该结构定义如下：IMAGE_IMPORT_DESCRIPTOR STRUCT union Characteristics dd ? OriginalFirstThunk dd ?

2008-06-10 13:48:00 282

原创 MSN 密码获取

**** Windows Live Messenger v8.0 Password Finder for Windows XP & 2003** (Compiled-VC++ 6.0 SP6, tested on WinXP SP2, Windows Live Messenger8.0.0812.00)** - Gregory R. Panakkal** http://www.crapware.t

2008-06-10 13:45:00 265

转载 MSN 密码获取

**** Windows Live Messenger v8.0 Password Finder for Windows XP & 2003** (Compiled-VC++ 6.0 SP6, tested on WinXP SP2, Windows Live Messenger8.0.0812.00)** - Gregory R. Panakkal** http://www.crapware.t

2008-06-10 13:45:00 330

转载跟踪Native API函数调用

跟踪Native API函数调用序言我们来研究一样非常有用的东西。我甚至要说，在某些情况下，离了它是寸步难行的，而且它能让我们对Windows的内部机制有个很好的认识。是的，本文的题目已经是不新鲜的已经被讲滥了的东西了。在这方面有众多的文章甚至是专著，作者也都是著名的专家，像Jeferry Ritcher, Matt Petriek, Sven Schreiber, Mark Russinovic

2008-06-10 13:43:00 1531

转载 ScanMac.cpp

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774033.aspx/*凑合了两份代码，就成了这个程序是用来扫描MAC地址的因为是凑合的，姑不敢称原创编译环境：Borland C++ ---bcc32.exe -edemo scanmac.cpp系统环境：XP_SP2by asm http://www.asm32.cn/*/#inc

2008-06-10 13:42:00 237

转载 TCP/IP学习代码_asm

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774032.aspx这个程序写到一半,就不想写了,所以代码写得比较龌龊,但是还是可以多用户上线的,其他的你们可以自己修改吧...........发上来给需要的人,说不定对你们谁有用呢..................注意:代码仅供学习之用,若用此代码修改写成恶意程序,与我无关....

2008-06-10 13:40:00 366

原创 Kill_Vagaa_Process完整版

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774031.aspx今天才完成这个代码,把它放在同事的电脑上,免得他用Vagaa.exe拖AV,他爽了,我却麻烦了...386.model flat, stdcalloption casemap :none;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

2008-06-10 13:38:00 482

转载列举进程的内核函数ZwQuerySystemInformation _asm

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774030.aspx编译的时候指定控制台模式/subsystem:CONSOLE .586.model flat, stdcalloption casemap:noneinclude windows.incinclude kernel32.incinclude user32.incin

2008-06-10 13:35:00 511

原创通过进程链枚举进程_asm

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774029.aspx程序用内核驱动的方式进入ring0,然后访问EPROCESS结构,在EPROCESS结构中找到进程链,从而可实现进程的枚举,但是由于PID 为0的系统进程Idle并没有在这个链上.所以通过这种方法自然也就找不出它来.程序输出可以用softice或DebugView工

2008-06-10 13:33:00 307

转载 Hook API监视驱动的加载_ASM

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774026.aspx;**************************************************************************************************;Author:dge/D哥;Date :2006.7.20;**

2008-06-10 13:30:00 335

转载 Hook API监视驱动的加载_ASM Hook API监视驱动的加载_ASM

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774026.aspx;**************************************************************************************************;Author:dge/D哥;Date :2006.7.20;**

2008-06-10 13:28:00 474

原创进程链表监视进程是否被创建或者销毁

既然可以通过进程活动链表来枚举进程,当然可以用来监视进程是否被创建或者销毁。下面的程序是KmdKit例子里的代码，我在学习的过程中已经加了详细注释。KmdKit/examples/basic/Synchronization/SharedEvent - ProcessMon驱动代码：;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

2008-06-10 13:04:00 439

原创在VC中编译、运行程序的小知识点

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774019.aspx1、Run-Time LibraryRun-Time Library是编译器提供的标准库，提供一些基本的库函数和系统调用。我们一般使用的Run-Time Library是C Run-Time Libraries。当然也有Standard C++ librar

2008-06-10 13:02:00 231

转载驱动程序的动态加载

转自:http://blog.csdn.net/iiprogram/archive/2007/09/06/1774018.aspx 驱动程序做出来后，怎么用呢？根据Four-F的说法，有三种方式：服务控制管理器(Service Control Manager (SCM).) 服务控制程序(Service Control Program (SCP).)和服务程序(service

2008-06-10 12:58:00 399

转载用户层下拦截系统api的原理与实现

转自:http://blog.csdn.net/iiprogram/archive/2007/09/05/1774009.aspx 拦截api的技术有很多种，大体分为用户层和内核层的拦截．这里只说说用户层的拦截．而用户层也分为许多种：修改PE文件导入表，直接修改要拦截的api的内存（从开始到最后，使程序跳转到指定的地址执行）．不过大部分原理都是修改程序流程，使之跳转到你要

2008-06-10 12:48:00 336

daiyu22的专栏