Kevins的天空 http://rootsec.cn_iiprogram_CSDN博客-windows底层核心編程,vcbcbdelphi的window编程,病毒汇编和调试逆向技术加脱壳领域博主

转载调试笔记之雨过天晴多点还原软件MBR实例

BY SUDAMI 为了能够调试多点还原软件"雨过天晴"的启动代码,目前有2种方式:引用:(1) 在Bochs调试器上装Windows XP系统,然后用Bochs单步调试. 不过光安装操作系统就得花20个小时以上(2) 用Wnhex克隆整个磁盘,配置Bochs的*.bxrc文...

2009-11-19 21:08:00 6552 2

原创 WinXP/2k数字签名状态设置

DWORD WINAPI SetDriverSign(){ HKEY hReg; DWORD dwLen; DWORD dwSeed; DWORD hProv; DWORD hHash; DWORD dwData; B...

2009-11-11 14:40:00 4508 0

转载分析了一下360安全卫士的HOOK

by： achillis 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。我分析的版本如下：主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D...

2009-11-10 21:18:00 6924 0

原创 Open Source Vbootkit 2.0 Attack Tool for Windows 7

http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public do...

2009-11-10 21:17:00 5732 1

原创 An Empirical Study of Real-world Polymorphic Code Injection Attacks

An Empirical Study of Real-world Polymorphic Code Injection AttacksMichalis PolychronakisFORTH-ICS, Greece, email: mikepo@ics.forth.grKostas G. Anag...

2009-11-10 09:08:00 4624 0

原创 Polymorphic Protector

Among the large amount of malwares we view, we have seen a few this week that were heavily obfuscated by some sort of "polymorphic packer."...

2009-11-10 08:58:00 3701 0

原创 Make your owner PE Protector

Preface This article was written to provide the better understanding to people who do not have any experience in this field. I am not going to descr...

2009-11-10 08:40:00 4562 0

原创 PE_Info 之DIY

自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck! 下面是源代码：/*///////////////////////////////////////////////////////////////////////...

2009-11-10 08:35:00 4282 0

原创 cyclotron's Win32 PE Library

Pamqara写过一个PELibrary,但自己写的东西毕竟用起来比较顺手,所以自己建了一个简单的library,给写壳提供了一些特别的方便性.时间关系,注释不是很详细,让代码来说话吧,欢迎报告bug和扩充库:);>>>>>>>>>>&...

2009-11-10 08:34:00 3727 0

转载使用TASM编译COFF格式和连接

作者: Anskya看到网络上流传的一份Drocon的mercury的代码程序源码使用TASM32编译使用MASM32来连接...关键的地方就在这里为什么要使用TASM编译。。。正常情况下TASM连接出来的程序代码体积远远大于MASM32连接出来的。。其实具体看一下就不难发现.TASM编译出来...

2009-11-10 08:05:00 3967 0

原创获取内核ntoskrnl.exe基地址的几种常见办法

作者: combojiang如果大家写过shellcode一定还记得，shellcode中开头要找kernel32.dll模块的内存加载地址。同样，如果大家要写一个内核的类似东东的话，第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下：1。利用ZwQ...

2009-11-09 20:53:00 4311 0

原创 IRP Hook 键盘Logger

作者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖：http://bbs.pediy.com/showthread.php?t=60022)之后，决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈...

2009-11-09 20:51:00 4351 1

原创玩玩ntfs之新建文件

作者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境：首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标：在根目录下添加一个名为7...

2009-11-09 20:48:00 3930 0

原创 Ring3下WX方法结束微点2009

作者: cogito此法系Hovi.Delphic首发，某日看过之后甚感WS(某牛：“太挫了，太挫了”)，于是把原作者的VB代码转成VC，以飨读者。微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services....

2009-11-09 20:44:00 3901 0

转载完整可编译NT4's NTFS源码（可稳定替换xp原版ntfs.sys

作者: weolar时间: 2009-06-01,08:59· write by http://hi.baidu.com/weolar/blog大家知道，文件系统在操作系统中应该属于比较独立的一块，只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样，在实际编程中，Wi...

2009-11-09 20:08:00 3679 0

转载加密资源节

作者: 玩命时间: 2008-07-10,21:27链接: http://bbs.pediy.com/showthread.php?t=68262什么是WINDOWS的资源这里就不提了。写过WIN程序的人应该都晓得了。如果没写过，那么。。。建议去写哈。关于加密资源节，也是加壳过程中的一个可...

2009-11-09 20:07:00 3305 0

转载 fs TIB TEB PEB

作者: winwang时间: 2009-10-27,17:19链接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内...

2009-11-09 16:41:00 3724 0

转载软件保护壳技术专题 - 反调试器技术

作者: 玩命时间: 2008-08-21,10:38链接: http://bbs.pediy.com/showthread.php?t=71113反调试是软件保护壳的最基本的功能之一。反调试方法也是多种多样。通过调用标准的API接口，计算指令时间差。查看当调试器加载后的内存的一些标志，还有...

2009-11-09 16:35:00 4363 0

原创增加区段的VC嵌汇编代码

// 增加区段.cpp : Defines the entry point for the console application.//#include #include #include bool OpenMyFile(char fileName[]);LPVOID AddSection(LPV...

2009-11-09 16:31:00 3791 0

转载 SMC之抛砖引玉(VC++6.0)

SMC是什么意思？它的英文名叫“Self Modifying Code”，顾名思义，就是“代码自修改”先来个简单的,来改数据代码:CString cs1,cs2; cs1="123456789"; cs2="abcdefghi"; __asm { mo...

2009-11-09 16:29:00 1103 0

转载 Asm的魅力（二）

Author:charmeData:2009.9.4Index:hi.baidu.com/charme000废话：上一篇大牛牛们都说是出力不讨好，呼呼！我还是一贯作风吧：一笑而过。做个简单的类比：开发黑客软件的人笑只会使用软件入侵的菜菜肤浅，如果认可这个挂点的话，那研究asm本身实质的人就应该嘲...

2009-11-09 16:25:00 1055 0

原创使用RSA1024算法防止软件被Keygen

作者: jackozoo时间: 2009-06-27,10:58链接: http://bbs.pediy.com/showthread.php?t=92380学习新的知识是一件很令人高兴和满足的事情，但是能和别人分享学习的经验，更令人快乐。由于我是一个菜鸟，所以有很多说不清楚的地方，还希望...

2009-11-09 16:25:00 2878 1

原创 ProbeBypass攻击技术

作者: qihoocom时间: 2009-10-29,22:37链接: http://bbs.pediy.com/showthread.php?t=100321本文介绍了一种方法，利用很多安全防御软件在进行用户态内存校验时的漏洞，对其保护系统进行攻击，达到绕过保护的目的。这是安全防御软件对...

2009-11-09 16:22:00 1137 0

原创当我们完全控制CISCO路由器时能够做的事情

翻译 by mix ---------------------------------||----------------和以前一样，我要申明一下，我不是专业的翻译员-----------------||---------所以我也只能够根据我自己的理解，尽量符合原文意思的进行翻译--------...

2009-03-27 10:54:00 2426 0

原创 Black Hat上演示破解SSL会话截获密码

网站加密又遭重创：在美国举行的黑客大会上，一位独立的黑客演示了一种可以窃取敏感信息的工具，它能欺骗用户使其以为正在访问一个受加密保护的站点的时候，而实际上却是在访问未加密的网站。本周三在华盛顿举行的黑帽子安全大会上，黑客演示了SSLstrip在公共无线网络、洋葱路由系统以及任何其他可以发动中间人...

2009-03-27 10:53:00 3078 0

原创 SSL加密3389远程桌面连接

从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中，通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器，在上面进行操作，删除程序，运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作，在推出以后受到了越来越...

2009-03-27 10:50:00 1502 0

原创 SSL的工作原理

6.2 SSL的工作原理SSL的工作原理：当一个使用者在Web上用Netscape浏览器漫游时，浏览器利用HTTP协议与Web服务器沟通。例如，浏览器发出一个HTTP GET命令给服务器，想下载一个首页的HTML档案，而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案...

2009-03-27 10:49:00 5531 0

原创安全套接层SSL协议

SSL（Secure Sockets Layer）协议最先是由著名的Netscape公司开发的，现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务，在通信双方间建立一个传输层安全通道。SSL使用对称加...

2009-03-27 10:47:00 1960 0

转载從大規模轉址事件看IP spoofing、ARP spoofing、ARP掛馬與路徑(route)安全

来源：阿碼外傳「優秀的鑒識人員除了要懂得物證的處理外，還要用科學的頭腦來思考。物證雖然能夠提供重要的線索與證據，但是要能解開整個迷局，就需要用頭腦串連所有的物證。在我處理過的六千多個案件中，就遇到單憑一件物證破案的案件」--李昌鈺這次的大規模轉址事件，受到各界關注，我們也寫了兩篇（這裡、這裡） ...

2009-03-27 09:05:00 1314 0

原创 BIOS中隐藏Telnet后门

文章属性：原创文章提交：cheng5103 (cheng_5103_at_126.com)[项目简述] 该项目仅为实验性项目,目的是学习国外技术。该项目主要目的是想隐藏一个Telnet后门在主板的BIOS内,并让其随着计算机系统及操作系统成功的运行起来。运行后能反向Telnet连接到指定的...

2009-03-27 09:03:00 2436 1

原创知名女黑客曝英特尔CPU漏洞

波兰知名美女黑客Joanna Rutkowska成为安全业内焦点人物，她在博客上发表一篇论文，曝光了一个英特尔CPU的缓存漏洞。而另一位安全研究人员Loic Duflot将在加拿大温哥华举行的CanSecWest安全大会上介绍该漏洞和攻击代码。如果这一漏洞被证实存在，黑客就可利用该漏洞获得对电脑近...

2009-03-24 17:12:00 2009 0

原创多核处理器的9大关键技术

与单核处理器相比，多核处理器在体系结构、软件、功耗和安全性设计等方面面临着巨大的挑战，但也蕴含着巨大的潜能。　　 CMP和SMT一样，致力于发掘计算的粗粒度并行性。CMP可以看做是随着大规模集成电路技术的发展，在芯片容量足够大时，就可以将大规模并行处理机结构中的SMP（对称多处理机）或DSM（分布...

2009-03-19 17:31:00 2337 0

原创 CPU级RootKit,目前无药可医

Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。&qu...

2009-03-18 17:37:00 3393 0

原创 Analyzing local privilege escalations in win32k

mxatone mxatone@gmail.com Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and...

2009-01-15 09:30:00 3517 0

原创 MS09-001漏洞基本分析

This Black Tuesday (the 13th, no less), Microsoft released the first security patch of 2009. This patch addresses three vulnerabilities in the SRV.SY...

2009-01-15 09:29:00 5887 0

原创【Windows源码分析】（一）初始化内核与执行体子系统

作者: 北极星2003 时间: 2008-03-22,23:59 链接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友，在阅读本文时最好对照windows源码来看，否则光看着这么多数据结构就足以头大。对于这篇文章，严格来...

2009-01-08 10:08:00 5098 1

原创运行程序前执行自己的代码

作者: 救世猪来看雪两年多了，到现在还是个相当菜的菜鸟，只索取，从来没有过回报，因为水平太次，实在是写不出来什么～这个小程序实际是做毕业设计的时候写的，当时写完之后，没有太大的问题了，就没有再改(能蒙混过关就是目的)，里面现在仍然是bug多多。它主要是利用Tls CallBack来实现...

2009-01-08 09:45:00 3888 0

原创线程调度的监视

pjf(jfpan20000@sina.com) 接着上次的小话题说。上次提到因为想要无需硬编码的方案从而未选用SwapContext，后来又想了想用SwapContext也基本不用硬编码，但因为用了其它做法，没有再实现hook SwapContext了。前两天难得放假，写了一下看...

2009-01-08 09:44:00 2920 0

原创 HOOK SwapContext 枚举隐藏进程(学习笔记4)

作者: bzhkl 时间: 2008-12-11,12:01 链接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程后来用暴力枚举的方法解决了但是HOOK SwapContext没有看到有完整的代码所以搜集了点网上有...

2009-01-08 09:40:00 3442 0

转载 Icelight驱动部分完整逆向(源代码)

by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是...

2009-01-08 09:36:00 2755 1