莫灰灰的专栏

看了看雪上的这篇帖子《瑞星全功能安全软件2011内核拒绝服务漏洞》http://bbs.pediy.com/showthread.php?t=151241。里面提到的驱动签名时间签名是2011.12.6，看来是很长时间没更新了啊。于是到他官网上下载了最新版本的瑞星杀毒软件2012(很久没用瑞星了，新版UI还不错)。操起IDA一看，2011版本和2012版本的Hook框架貌似

最近各种MBR病毒泛滥啊，正好看到系统启动那里，就把这方面的也看了吧，写点心得体会，以后忘了还可以回来看。硬盘布局示例：物理磁盘是按照一种称为扇区的单元来寻址的。一个硬盘的扇区通常是512字节。为磁盘做卷划分准备的工具，如fdisk或者Windows Setup程序，它们在硬盘的第一个扇区中写入一扇区数据，这些数据就是主引导记录，即MBR。MBR包含有可执行的指令（称为引导

最近金山也加入了浏览器大军，推出了其首款浏览器 - “猎豹”，主打安全牌，直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包，使用感受是，总体来说还不错，但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚，是否真的有这么神奇吗？于是我操起IDA简单的分析了一下。1.猎豹浏览器

中断描述符表寄存器(Interrupt Descriptor Table Register, IDTR)存储了中断描述符表(Interrupt Descriptor Table, IDT)在内存中的基地址.IDT是一个有256个入口的线形表，每个IDT的入口是个8字节的描述符，所以整个IDT表的大小为256*8=2048 bytes.每个中断向量关联了一个中断处理过程。所谓的中断向量就是把

以前的Intel 8086 是16位的CPU，它有着16位的寄存器，16位的数据总线，20位的地址总线以及1MB的寻址能力。一个地址是由段和偏移两部分组成的，物理地址遵循如下计算公式：物理地址（Physical Address）= 段值（Segment）*16 + 偏移（Offset）其中，段值和偏移都是16位的。从80386开始，Intel家族的CPU进入32位时代。80386有32

百度百科：PowerTool 一款免费强大的进程管理器，支持进程强制结束，可以Unlock占用文件的进程，查看文件/文件夹被占用的情况，内核模块和驱动的查看和管理，进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除，新增注册表和服务的强删功能，可在PE系统下清除感染MBR的病毒（如鬼影等），通过Windows7 SP1的测试。  ---

这个问题虽然是比较老了，但是看雪上还有同学提到，在这里做个总结，给像我这样的新手看看。 1）直接修改入口用c32asm或者其他PE编辑工具，修改开头的几个字节，改成cc，即int 3。这样，驱动加载的时候就会断在这里了。ps：这种方法对于有校验的驱动可能不太适用。2）下断IopLoadDriver这里的EDI其实就是DriverObject。Driv

最近准备往AntiSpy中加入应用层检测Hook的功能。在写这个功能的时候碰上了一些问题，花了很长时间才搞定，在此记录下，后来人可以少走俺的这些“弯路”。在枚举“阿里旺旺”进程的钩子时，发现此进程加载了两个同名的Dll，即“comctl32.dll”。而其中comdlg32.dll的导入表中会引入 comctl32.dll 模块的导出函数，这里就有一个问题了，c

最近任务需要，搞了个枚举任务计划的小工具，特此记录一下。网上资料很少，最后还是在MSDN中找到了自己想要的，看来以后得多翻翻MSDN才行啊。。。#include "stdafx.h"#include #include #include #include #include using namespace std;#define TASKS_TO_RETR

今天实在是无聊了，看到卡饭有个HIPS 叫GKR阳光版，正在做活动，还比较火，于是下载下来看之。发现有不少的内核拒绝服务漏洞。受影响的版本号：驱动：RegFilter.sys示例函数：NtCreateKey偏移：5076IDA汇编代码如下：PAGE:000150A0 mov ebx, [ebp+10h]PAGE:000

代码:  http://download.csdn.net/source/3300103看雪:  http://bbs.pediy.com/showthread.php?t=134309

V8藏着掖着搞了这么多年，除了主界面弄了个毫无用处的动画外，其他附加的程序，例如“隔离区”，“日志管理器”等都是老版本的程序，感觉连个人作品都不如，山寨中的战斗机。哎，让吾等正版用户及其失望。V8杀毒软件的动态防御驱动filnk.sys在内核对多个系统函数进行了hook，但是对Ring3传递进来的参数都没有任何的有效性检查就直接使用了。因此，造成了内核拒绝服务漏洞。这里以其Hook的N

代码: http://download.csdn.net/source/3279804

ps:1.A盾为最新版本（2012-06-01 A盾电脑防护 v0.2.6 快乐儿童版）。2.驱动只在XP Sp3下测试有效。3.A盾在我机器上驱动老是加载失败啊。测试代码：/******************************************** AUTHOR : 莫灰灰* DATE : 2012-6-5* BOLG : ht

在xp系统下，系统引导过程中涉及到的组件.主要过程：打开电源---->通电自检(Power-On Self Test，POST)[这一步主要会对计算机中安装的处理器、内存等硬件进行检测]。---->BIOS读取硬盘中的0道0面0区(MBR主引导区)的内容，执行前446字节程序代码，分析并检测当前分区表的完好性和可用性，再根据MBR中的分区表信息内容，寻找到当前可引导活动

最近的项目需要 是得到当前用户的SID我用的方法比较山寨，就是枚举HKEY_USERS下的所有键，此方法的优点是可以枚举出本机上全部有效的SID------------------------------------------------------------------------------------------------------------------

MSDN上对消息钩子的描述：The SetWindowsHookEx function installs an application-defined hook procedure into a hook chain. You would install a hook procedure to monitor the system for certain types of events. Th

由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息. 通常fs