Hook Explorer Tool

Hook Explorer------------------------------------------------------------------------SUMMARYDETAILSThis is a small application designed to scan a sin...

2006-03-31 11:35:00

阅读数:1137

评论数:0

HLBR - Hogwash Light BR

Project leaders: André Bertelli Araújo (lliberte a gmail com) and João Eriberto Mota Filho (eriberto a eriberto pro br). Translated from http://hlbr....

2006-03-31 11:28:00

阅读数:1054

评论数:0

flat assembler 1.41 编程者手册

第一章 简介1.1 编译器概述1.1.1 系统需求1.1.2 命令行执行1.1.3 编译器信息1.1.4 输出格式 1.2 汇编参数1.2.1 指令参数1.2.2 数据定义1.2.3 常量和标号1.2.4...

2006-03-31 09:25:00

阅读数:2014

评论数:1

JIURL玩玩Win2k进程线程篇 TEB

TEB,Thread Environment Block,线程环境块。位于用户地址空间。在比 PEB 所在地址低的地方,比如 0x7FFDF000,0x7FFDE000。每个线程都有自己的一个 TEB。由于 TEB 在用户地址空间,所以本进程中运行在用户模式下的代码就可以访问 TEB 结构。Win...

2006-03-31 09:12:00

阅读数:1111

评论数:0

JIURL玩玩Win2k进程线程篇 PEB

PEB,Process Environment Block ,进程环境块。位于用户地址空间。在地址 0x7FFDF000 处。所以用户进程可以直接访问自己的 PEB 结构。Win2k Build 2195 中进程的 EPROCESS 结构偏移+1b0 处的 *Peb 也指向 PEB 结构。在 un...

2006-03-31 09:09:00

阅读数:1106

评论数:0

JIURL玩玩Win2k进程线程篇 EPROCESS

 每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build...

2006-03-31 09:03:00

阅读数:1117

评论数:0

玩玩Win2k内存篇 分页机制(三四)

8种转换由于页表被映射到了0xc0000000 开始的4MB地址空间。所以我们也可以象CPU那样完成虚拟地址到物理地址的转换。系统按照对应虚拟空间的先后顺序,把一个进程的页表映射在0xc0000000 开始的4MB地址空间中,...

2006-03-31 09:02:00

阅读数:1391

评论数:0

Windows 2000内存篇 分页机制介绍1-2

基本概念      Windows 2000 使用基于分页机制的虚拟内存。每个进程有4GB的虚拟地址空间。基于分页机制,这4GB地址空间的一些部分被映射了物理内存,一些部分映射硬盘上的交换文件,一些部分什么也没有映射。程序中使用的都是4GB地址空间中的虚拟地址。而访问物理内存,需要使用物理地址。 ...

2006-03-31 08:41:00

阅读数:1794

评论数:0

探索NTFS探寻Windows NT/2000 Copy On Write机制

探寻Windows NT/2000 Copy On Write机制 WebCrazy(http://wecrazy.yeah.net) Copy On Write机制是典型的Lazy evaluation实现,现代操作系统如Windows NT/2000,UNIX/Linux的内存管理部分大量使用...

2006-03-31 08:38:00

阅读数:1379

评论数:0

探索 Windows 2000 的内存管理机制

翻译: Kendiv( %20%20);%20document.write(%20addy78904%20);%20document.write(%20%20);%20//-->%20"> <!-- var prefix = ma + il + to; var path...

2006-03-31 08:36:00

阅读数:2341

评论数:0

"陷阱"技术探秘──动态汉化Windows技术的分析

 四通利方(RichWin)、中文之星(CStar)是大家广为熟知的汉化Windows产品,"陷阱"技术即动态修改Windows代码,一直是其对外宣称的过人技术。本文从Windows的模块调用机制与重定位概念着手,介绍了"陷阱"技术的实现,并给出了采用&qu...

2006-03-31 08:33:00

阅读数:993

评论数:0

Windows内存机制解析

前言 写这篇文章之前相当长的一段时间里,对windows内存机制是有着相当的困惑的。各个进程的内存空间是如何隔离和共享的?GDT(全局描述表)尚在,可分段机制去了那里?既然我们有虚拟的4G空间和结构化异常为何分配内存仍可能失败?在什么时候stack会溢出?―――当我把这些问题都弄清楚后,我写了这篇...

2006-03-31 08:31:00

阅读数:1280

评论数:0

Writing Your Own Packer

Writing Your Own Packer - by ...

2006-03-30 10:09:00

阅读数:1488

评论数:1

Microsoft Windows 2000 Plug and Play Universal Remote Exploit #2 (MS05-039)

漏洞资料:http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx危险程度:严重影响范围:Microsoft Windows 2000/XP/2003利用端口:445解决办法:安装补丁 --------------...

2006-03-30 09:38:00

阅读数:917

评论数:0

一个VC写的完整、简单的Sniffer代码

以下完整、简单的Sniffer代码代码是用SOCK_RAW写的.SP2已经不支持RAW#include #include #include #include #include #define MAX_HOSTNAME_LAN 255#define SIO_RCVALL _WSAIOW(IOC_VE...

2006-03-30 09:38:00

阅读数:4386

评论数:0

windows 管理小技巧

5.1 去除缺省共享Q: 在管理工具->计算机管理->共享文件夹中可以看到ADMIN$、C$、D$、IPC$等缺省 共享,怎么才能去除这些缺省共享A: 2K/XP下测试通过1) 禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE/SYSTEM/CurrentContr...

2006-03-30 09:26:00

阅读数:1421

评论数:0

window系统下的远程堆栈溢出 --《原理篇》

----前言 我们来研究windows系统下的远程溢出方法。 我们的目的是研究如何利用windows程序的溢出来进行远程攻击。 如果对于windows下的缓冲区溢出不是很熟悉,请大家复习我前面的文章: 《window系统下的堆栈溢出》(NsfocusMagzine 20003)。 本文以及后续的《...

2006-03-29 15:28:00

阅读数:882

评论数:0

window系统下的远程堆栈溢出 --《实战篇》

下面是一个有问题的internet服务程序: /****************************************************************************/ /* server.cpp By Ipxodi */ #include #include ...

2006-03-29 15:28:00

阅读数:830

评论数:0

通用ShellCode深入剖析

前言: 在网上关于ShellCode编写技术的文章已经非常之多,什么理由让我再写这种技术文 章呢?本文是我上一篇溢出技术文章的姊妹篇,同样 的在网上我们经常可以看到一些关于ShelCode编写技术的文章,似乎没有为初学者准备的 ,在这里我将站在初学者的角度对通用ShellCode进行比较详细的分析...

2006-03-29 15:27:00

阅读数:883

评论数:0

Windows 2000缓冲区溢出入门

--[ 前言 我在互联网上阅读过许多关于缓冲区溢出的文章。其中的绝大多 数都是基于*NIX操作系统平台的。后来有幸拜读了ipxodi所著的 《Windows系统下的堆栈溢出》(已刊登在绿盟网络安全月刊2000 年第三期中),又碰巧看到了Jason先生的 《Windows NT Buffer Ove...

2006-03-29 15:26:00

阅读数:910

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭