排序:
默认
按更新时间
按访问量

WinXP/2k数字签名状态设置

 DWORD WINAPI SetDriverSign(){    HKEY    hReg;    DWORD    dwLen;    DWORD    dwSeed;    DWORD    hProv;    DWORD    hHash;    DWORD    dwData;    B...

2009-11-11 14:40:00

阅读数:4266

评论数:0

Open Source Vbootkit 2.0 Attack Tool for Windows 7

 http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public do...

2009-11-10 21:17:00

阅读数:5512

评论数:1

获取内核ntoskrnl.exe基地址的几种常见办法

 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQ...

2009-11-09 20:53:00

阅读数:4150

评论数:0

IRP Hook 键盘Logger

 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈...

2009-11-09 20:51:00

阅读数:4195

评论数:1

玩玩ntfs之新建文件

作 者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标:在根目录下添加一个名为7...

2009-11-09 20:48:00

阅读数:3795

评论数:0

Ring3下WX方法结束微点2009

 作 者: cogito此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。 微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services....

2009-11-09 20:44:00

阅读数:3770

评论数:0

fs TIB TEB PEB

 作 者: winwang时 间: 2009-10-27,17:19链 接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内...

2009-11-09 16:41:00

阅读数:3591

评论数:0

ProbeBypass攻击技术

 作 者: qihoocom时 间: 2009-10-29,22:37链 接: http://bbs.pediy.com/showthread.php?t=100321本文介绍了一种方法,利用很多安全防御软件在进行用户态内存校验时的漏洞,对其保护系统进行攻击,达到绕过保护的目的。这是安全防御软件对...

2009-11-09 16:22:00

阅读数:1042

评论数:0

BIOS中隐藏Telnet后门

文章属性:原创文章提交:cheng5103 (cheng_5103_at_126.com)[项目简述]     该项目仅为实验性项目,目的是学习国外技术。该项目主要目的是想隐藏一个Telnet后门在主板的BIOS内,并让其随着计算机系统及操作系统成功的运行起来。运行后能反向Telnet连接到指定的...

2009-03-27 09:03:00

阅读数:2292

评论数:1

CPU级RootKit,目前无药可医

Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。&qu...

2009-03-18 17:37:00

阅读数:3313

评论数:0

Analyzing local privilege escalations in win32k

 mxatone mxatone@gmail.com  Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and...

2009-01-15 09:30:00

阅读数:3339

评论数:0

【Windows源码分析】(一)初始化内核与执行体子系统

 作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来...

2009-01-08 10:08:00

阅读数:4645

评论数:3

线程调度的监视

 pjf(jfpan20000@sina.com)    接着上次的小话题说。    上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看...

2009-01-08 09:44:00

阅读数:2830

评论数:0

HOOK SwapContext 枚举隐藏进程(学习笔记4)

 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有...

2009-01-08 09:40:00

阅读数:3324

评论数:0

MBRPROT -- Object Hijack(Deep disk filter without hook or function replace)

 by mj0011#include "ntddk.h"#include "ntifs_48.h"#include "zwfunc.h"#include "stdafx.h"#include "srb.h&q...

2009-01-08 09:32:00

阅读数:1406

评论数:0

跟踪调试KernelStack笔记

作 者: sudami 时 间: 2008-12-19,19:33 链 接: http://bbs.pediy.com/showthread.php?t=79022 <img title="名称: Snap2.gif查看次数: 195文件大小: 12.4 KB" sr...

2008-12-22 21:52:00

阅读数:976

评论数:0

HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI

 by bujin999unit Driver;interfaceuses   nt_status,ntoskrnl,ntutils;const  DeviceName = /Device/360safeBoxA;  DosDeviceName = /DosDevices/360safeBoxA...

2008-12-09 09:33:00

阅读数:1657

评论数:0

抹掉所有进程中自己的句柄(源代码)

 by  achillis之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出...

2008-12-09 09:25:00

阅读数:1596

评论数:0

一种基于NTLDR的BOOTKIT──原理及实现

 Author: inghu  EMail: jack.xlt@gmail.com  Site:http://hi.baidu.com/inghu  Date:2008-11-1  前言:XCON2008将于不日召开,其间国内外安全界之高手将云集席间,共享中国安全界这一盛会。吾自 ...  Aut...

2008-11-20 17:26:00

阅读数:1491

评论数:0

基于处理器调试机制的Rootkit隐形技术

 本文将向读者介绍一种通过处理器的调试机制来实现Rootkit的隐形的技术。这种技术的特点是,无需利用系统的缺陷,直接处理器的正常功能就能达到隐形的目的。本文将以Linux系统为例来介绍如何实现基于调试寄存器的隐形方法。  一、概述  几年来,用于在攻陷的机器上实现隐形技术和方法越来越多,让人目不...

2008-11-20 17:25:00

阅读数:1064

评论数:1

提示
确定要删除当前文章?
取消 删除
关闭
关闭