排序:
默认
按更新时间
按访问量

运行程序前执行自己的代码

 作 者: 救世猪 来看雪两年多了,到现在还是个相当菜的菜鸟,只索取,从来没有过回报,因为水平太次,实在是写不出来什么~   这个小程序实际是做毕业设计的时候写的,当时写完之后,没有太大的问题了,就没有再改(能蒙混过关就是目的),里面现在仍然是bug多多。它主要是利用Tls CallBack来实现...

2009-01-08 09:45:00

阅读数:3794

评论数:0

Hide Your SSDT HOOK

http://www.rootkit.com/newsread.php?newsid=922http://hi.baidu.com/only_rainbow/blog/item/4e51af8ebcf82efd513d920b.html1.目标Alot of commercial products...

2008-12-09 08:18:00

阅读数:1535

评论数:0

N种内核注入DLL的思路及实现

Author :  sudami  [sudami@163.com]Time  :  01-11-2008Links  :  http://hi.baidu.com/sudami     内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有...

2008-11-20 16:46:00

阅读数:1426

评论数:0

Trojan exploiting MS08-067 RPC vulnerability

There are reports emerging Friday morning of a new Trojan exploiting the MS08-067 RPC vulnerability in Windows that Microsoft patched with an emergen...

2008-10-27 08:38:00

阅读数:796

评论数:0

软件安全测试(fuzz)之大家一起学1: fuzz platform架构

 作 者: failwest时 间: 2008-10-21,00:14链 接: http://bbs.pediy.com/showthread.php?t=75032待到秋来九月八,我花开后百花杀最近应一个会议的邀请,需要准备一些关于security testing的东西,fuzz技术作为工业界普...

2008-10-22 10:12:00

阅读数:3028

评论数:0

IAT HOOK 代码注入非DLL

 作 者: 徐大力时 间: 2008-10-13,15:26链 接: http://bbs.pediy.com/showthread.php?t=74569使用代码注入来实现进程隐藏  而不是使用DLL注入来实现进程隐藏没有什么高级技术  纯体力活  原理就不说了  只是没有通过DLL注入  来实...

2008-10-22 10:09:00

阅读数:964

评论数:0

安全搜索进程内存空间(三)

 通过对内存访问异常的处理可以使ShellCode能够安全地执行搜索功能,最终找到我们的“Egg”。本文中附带的程序实际上只是一个用于说明的代码,由于没有判断异常产生的原因因此在实际应用中有一定的问题。聪明的读者也许会发现如果在OllyDbg中调试该程序会失败,仔细分析后我们发现,导致该程序调试失...

2008-10-16 17:25:00

阅读数:1010

评论数:0

安全搜索进程内存空间(二)

 2、异常信息当一个异常发生时,操作系统向异常处理的线程堆栈中压入3个结构,这三个结构是:EXCEPTION_RECORD,CONTEXT, EXCEPTION_POINTERS。1、 EXCEPTION_ RECORD结构EXCEPTION_ RECORD结构包含了有关最近发生异常的详细信息,这...

2008-10-16 17:24:00

阅读数:1275

评论数:0

安全搜索进程内存空间(一)

 CMDHZ 本文发表在黑防2008的2期上,按照他们要求的间隔时间已经过了,所以贴上来。本文设计了用于演示的程序,一下子没有找到怎么发附件,所以需要的读者就向邮箱lisl03@gmail.com发 application mail吧。ShellCode的编写好像是一个永远说不完的话题。在11期《...

2008-10-16 17:21:00

阅读数:1662

评论数:0

pe-elf 文件加壳时的处理

 |=---------------------------------------------------------------------------=||=----------------------=[  pe/elf 文件加壳时的处理  ]=----------------------...

2008-10-15 11:36:00

阅读数:2791

评论数:0

一个向别的进程插入dll的代码

 #include "stdafx.h"#include "windows.h"#include "tlhelp32.h"#include "ntpsapi.h"struct PE_Header {unsigned l...

2008-10-15 10:47:00

阅读数:798

评论数:0

天龙八部木马核心代码,版本0.50.0385

一个网游木马核心代码...无聊的时候写的..截取了用户名,密码,等级,仓库密码Quote:#include BYTE userCode[7]={0x8B,0x45,0x0C,0x50,0x8D,0x4B,0x5C};BYTE userJmpCode[6]={0xe9,0x00,0x00,0x00,...

2008-10-15 10:39:00

阅读数:871

评论数:0

Download Execute File Under Any Process

 Downloader  Makes a process download a specific file  Notes      -> Allocates two memory regions in the external process        a) Space for four...

2008-10-15 10:25:00

阅读数:755

评论数:0

windows上调试win32子系统的方法

 最近做的一个东西需要调试win32子系统(例如Lsass.exe进程),但是发现要对win32子系统进行调试好像比较麻烦。首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接跟它相连,调试器退出时计算机就会自动重启,使...

2008-10-14 23:03:00

阅读数:950

评论数:0

如何关闭WFP

 关于windows文件保护的讨论有许多,最近对他进行了一些整理,下面将整理的心得写下来:微软为了提高 Windows 系统的可靠性和稳定性,从 Windows 2000 开始使用一种叫做 WFP ( Windows File Protection,Windows 文件保护)的机制。现在,Wind...

2008-10-14 23:03:00

阅读数:1388

评论数:0

用文档化方法列举系统模块

 关于Enum Module的方法 ,我想最常用的就是ZwQuerySystemInformation函数。我们知道这个函数是一个undocumented function。未文档化的函数有一个地方让人不放心,就是微软可能在某个时候改变他。这里我想介绍一个文档化的方法来列举系统模块。实际上,这并不...

2008-10-14 17:12:00

阅读数:652

评论数:0

Ansi、Unicode、UTF8字符串之间的转换,wprintf

Ansi字符串我们最熟悉,英文占一个字节,汉字2个字节,以一个/0结尾,常用于txt文本文件Unicode字符串,每个字符(汉字、英文字母)都占2个字节,以2个连续的/0结尾,NT操作系统内核用的是这种字符串,常被定义为typedef unsigned shortwchar_t;所以我们有时常会见...

2008-10-13 11:26:00

阅读数:4590

评论数:0

winpcap-T-ARP源代码

 T-ARP源代码#include "packet32.h"#include "ntddndis.h"#include #include #pragma comment(lib,"ws2_32")#pragma comment(lib,&...

2008-09-10 15:49:00

阅读数:1562

评论数:0

HTTP隧道通讯DELPHI封装

{HTTP隧道通讯DELPHI封装,只通过语法检查,没测试。By 雪落的瞬间 QQ 418880764BLOG http://hi.baidu.com/cipherteam/BBS http://www.killabc.cn 完全翻译PcShare2个类代码。}unit hTTPPIDE;inte...

2008-09-09 15:30:00

阅读数:1392

评论数:0

防火墙普遍存在的设计缺陷--关于进程路径的获取

 http://blog.csdn.net/RonCha/archive/2006/09/20/1254982.aspx 当程序访问网络时,一般情况下防火墙都会获取到程序的路径,并提示用户。问题就出在获取程序路径的方法,一般的防火墙程序都是直接在ring3下获取这些信息,也就是说防火墙程序获取的这...

2008-09-09 08:25:00

阅读数:703

评论数:1

提示
确定要删除当前文章?
取消 删除
关闭
关闭