Microsoft Windows XP/2003/Vista memory corruption 0day

Since its already wide spread on the public forums and exploit ispublished on multiple sites and there is no way to stop it, I thinkits time to alert...

2006-12-23 17:50:00

阅读数:838

评论数:0

最新vista漏洞Microsoft Windows csrss (?) memory corruption exploited in-the-wild

Dear Secure@microsoft.com,  On  one  of  Russian  forum  security  vulnerability  is  discussed in  Microsoft Windows (Windows XP is tested). A vulne...

2006-12-23 17:45:00

阅读数:833

评论数:0

Detecting Windows NT/2K process execution

Download source files - 33 Kb Abstract Intercepting and tracing process execution is a very useful mechanism for implementing NT Task Manager-li...

2006-12-21 17:00:00

阅读数:928

评论数:0

Different ways to install kernel hooks under Windows NT based systems

1. Via installing a standard device driverCalling the CreateService API with the service type parameter set to SERVICE_KERNEL_DRIVER makes the driver...

2006-12-21 10:24:00

阅读数:1549

评论数:0

VC下发布的Release版程序的异常捕捉

  寻找Release版程发生异常退出的地方比Debug版麻烦得多。发生异常的时候windows通常会弹出一个错误对话框,点击详细信息,我们能获得出错的地址和大概的出错信息,然后可以用以下办法分析我们的程序。   一.     用MAP文件定位异常代码位置。 1.         如何生成map文...

2006-12-21 08:32:00

阅读数:1187

评论数:0

亲密接触VC6.0编译器

 大家可能一直在用VC开发软件,但是对于这个编译器却未必很了解。原因是多方面的。大多数情况下,我们只停留在“使用”它,而不会想去“了解”它。因为它只是一个工具,我们宁可把更多的精力放在C++语言和软件设计上。我们习惯于这样一种“模式”:建立一个项目,然后写代码,然后编译,反反复复调试。但是,所谓:...

2006-12-21 08:29:00

阅读数:1106

评论数:0

对“仅通过崩溃地址找出源代码的出错行”一文的补充与改进

 ...

2006-12-21 08:21:00

阅读数:1026

评论数:0

2003蠕虫王反汇编代码

;SAPPHIRE WORM CODE DISASSEMBLED;eEye Digital Security: January 25, 2003        push    42B0C9DCh       ; [RET] sqlsort.dll -> jmp esp            ...

2006-12-20 17:06:00

阅读数:1537

评论数:0

黑客反汇编高速入门

by sinox直到最近看了一本win32汇编书籍,他里面说可以把vc程序反汇编,获得汇编程序。如果随便用ida反汇编,如过没有把原程序和汇编放在一起,那么仍然没有收获。我按照说明操作了终于得到原程序和汇编放在一起的文件,就像在调试状态一样,每个c语言程序对应一个扩展名叫.cod文件.用它来学习真...

2006-12-20 11:20:00

阅读数:2584

评论数:1

Win32.LostLove 病毒分析及清除

1、LostLove病毒,该病毒的特征是感染扩展名为EXE和SCR的Windows的PE文件,文件长度增加1186字节。病毒发作时会查找C—Z盘所有符合条件的文件,并将其感染,同时会打开 http://www.wx-packs.com/lx/boy/boyhacker.htm页面,不会造成其他的破...

2006-12-20 11:10:00

阅读数:1212

评论数:0

Win2k病毒Demo

;*********************************************************************;*                                                                   *;*       ...

2006-12-20 11:05:00

阅读数:1168

评论数:0

使用远程线程制作不死进程

远程线程指把当前进程部分代码注入到其他进程做为线程执行,虽然钩子程序能挂钩其他程序的消息,但钩子程序退出,注入的dll也就退出了,而远程线程不会 随着本地进程退出而结束。而且可以处理更多的事情,而不局限于消息。由于98不支持所以只能在nt内核上运行,下面是制作远程线程需要使用的api。获取进程句柄...

2006-12-14 17:16:00

阅读数:977

评论数:0

Windows NT File System Internals》学习笔记之物理内存管理简介

from fengcaho页帧和页帧数据库NT VMM必须管理系统内可用的物理内存。VMM使用的方法和现代商用操作系统中使用的方法类似。 NT VMM将可用的RAM划分为固定尺寸的页帧。页帧的大小可以从4K~64K。在Intel X86结构上,页尺寸为4K。每一个页桢都在页帧数据库(PFN Dat...

2006-12-14 17:15:00

阅读数:2269

评论数:0

Windows NT FileSystem Internals》学习笔记之IO_STACK_LOCATION的结构

by fengcahoNTDDK定义的Stack Location结构体由以下几个字段组成:MajorFunction:该字段定义了一个函数功能集,内核模式驱动可以实现其中的每一个函数。每一个函数由一个函数代码对应。当内核模式驱动接收到一个IRP时,驱动首先检查当前StackLocation中的M...

2006-12-14 17:13:00

阅读数:2066

评论数:0

Windows NT FileSystem Internals》学习笔记之Complete IRP

by fengcaho以为完成IRP的处理仅仅是简单的调用一下IoCompleteRequest()函数而已,内部的代码应该很简单。阅读了Win2K源代码才发现,事情并不简单啊,呵呵,再一次发现Win2K源代码的价值了。驱动必须调用IoCompleteRequest()通知I/O管理器相应的IRP...

2006-12-14 17:10:00

阅读数:2687

评论数:0

驱动开发之二:尝试挂接file system

 hookfilesystem.c 代码 //尝试挂接file system   #include "Hookfilesystem.h&quo...

2006-12-14 17:08:00

阅读数:1755

评论数:0

API Spying Techniques for Windows 9x, NT and 2000

Yariv Kaplan API spying utilities are among the most powerful tools for exploring the inner structure of applications and operating systems. Unfortun...

2006-12-14 17:03:00

阅读数:1192

评论数:0

Careless BugCheck

 from jonh lancarelessly, a bugcheck occured when i was debugging Windows Server 2003 in VMWare.Opened log file d:/bugcheck.log kd> !analyze -v **...

2006-12-14 17:01:00

阅读数:1301

评论数:0

NDIS Debugging Tips 0x02 What's the system routine used to flush DMA cache of Windows?

by jonh lan: http://www.microsoft.com/whdc/driver/kernel/dma.mspx  host a very good article interpreting NT DMA model,during the digesting process, I...

2006-12-14 16:55:00

阅读数:1026

评论数:0

NDIS Debugging Tips 0x01 how ndis miniport connect its ISR to system ?

kd> !idtDumping IDT:37: 80a6e030 hal!PicSpuriousService373d: 80a6f2d4 hal!HalpApcInterrupt41: 80a6f128 hal!HalpDispatchInterrupt50: 80a6e108 hal!H...

2006-12-14 16:53:00

阅读数:1605

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭