shellcode 之 JMP ESP 与 JMP EBX

堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:1 JMP ESP函数调用后的堆栈结构:    L    L -> child program of Local variable...

2008-06-30 23:49:00

阅读数:2887

评论数:0

线程调度的部分资料

PART 1: Kernel Object//每一位表示对应这个特权级的队列中是否有线程(主要在KiSwapThread用,详细代码见PART3)ULONG KiReadySummary = 0   - Referenced by KeSetAffinityThread(),KiFindReady...

2008-06-30 23:48:00

阅读数:1406

评论数:0

Recognizer & FS & Filter

注一:File system recognizer 文件系统识别器(下文简称为recognizer)File system            文件系统     (下文简称为fs)File system filter     文件系统过滤器(下文简称为filter)文件系统识别器是一个标准的NT...

2008-06-30 23:46:00

阅读数:1010

评论数:0

Rootkit 1: Detection Hide Process

什么叫rootkit?  它是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”.rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码.rootkit主要分为下列大类:1 进程隐藏2 文件隐藏3 端口隐藏4 注册表隐藏5 驱动服务隐藏P...

2008-06-30 23:45:00

阅读数:1054

评论数:0

如何写windows系统已保护的内存区域

windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003   2) CPU提供写保护的功能是从486开始的   3) 一般合法程序不包括杀毒软件...

2008-06-30 23:41:00

阅读数:1313

评论数:0

Ring0Prolog

1 Undocumented Windows NT中通过callgate实现的无驱动进如ring0的代码中的两个宏汇编代码  直接仿制于NT系统代码(_KiSystemService),随NT版本而变。Ring0Prolog macro PUSHAD PUSHFD PUSH FS ;FS:0即指向...

2008-06-30 23:38:00

阅读数:947

评论数:0

小议PE病毒技术

Win32 PE病毒和普通Win32 PE程序一样需要调用API函数,但是普通的Win32 PE程序里面有一个导入函数表,该导入函数表对应了代码段中所用到的api函数在动态连接库中的真实地址(由PE Loader去填充这个地址的)。这样,调用api函数时就可以通过该导入函数表找到相应api函数的真...

2008-06-30 23:31:00

阅读数:1299

评论数:0

Smss.exe进程分析

传说中的会话管理服务器进程,它是windows操作系统启动时引导的最重要的系统进程,它负责启动csrss.exe和winlogon.exe进程,并对它们进行监控,如果发现其中一个挂掉,它马上叫你当机,所以要想结束csrss.exe/winlogon.exe,先结束Smss.exe,源码前一目了然(...

2008-06-30 23:30:00

阅读数:1085

评论数:0

windows driver中的IO_STACK_LOCATION

define IoSkipCurrentIrpStackLocation( Irp ) /(Irp)->CurrentLocation++; /(Irp)->Tail.Overlay.CurrentStackLocation++; #define IoCopyCurrentIrpSta...

2008-06-30 23:28:00

阅读数:1444

评论数:0

win32调试接口的基本原理

错的关于windows平台下用户模式调试器的原理  所谓调试器实际上是一个很宽泛的概念,凡是能够以某种形式监控其他程序执行过程的程序,都可以泛称为调试器。在Windows平台上,根据调试器的实现原理大概可以将之分为三类:内核态调试器、用户态调试器和伪代码调试器。     内核态调试器直接工作在操作...

2008-06-30 23:23:00

阅读数:1318

评论数:0

隐藏内核模块的方法

在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:/*******************************************************************************...

2008-06-30 23:21:00

阅读数:1416

评论数:0

关于NT内核cancel irp的问题

NT内核中IRP的cancel是一个复杂的问题,很容易出错导致系统崩溃,ddk中的文档其实对这部分说的很详细,只是需要认真体会,osr网站上以前在NT insider杂志中有过2篇文章研究这个问题,总结这些资料,写个贴子罐水如下:1.为什么要取消irp?ddk文档中说的很清楚:"Any drive...

2008-06-30 23:20:00

阅读数:1071

评论数:0

用APC实现在内核模式运行用户程序

//=====================================================================================////Name: void RunUserModeProcess()                           ...

2008-06-30 23:19:00

阅读数:2102

评论数:1

关于NT内核的apc机制

Asynchronous Procedure Calls (APCs) are a fundamental building block in NTs asynchronous processing architecture. An understanding of this mechanism ...

2008-06-30 23:17:00

阅读数:1170

评论数:0

hook未导出native api的好办法

昨天写的那个 hook ssdt的驱动,用的是硬编码的办法,这样在不同的系统中由于NtShutdownSystem的服务号都不相同,所以在不同的操作系统上代码都要做修改,这个比较不爽.今天听老大PJF说有避免硬编码的方法,google了下,发现下面的文章,代码稍微改了改,用在我的驱动中,果然好使....

2008-06-30 23:15:00

阅读数:788

评论数:0

利用filter driver实现键盘记录

实现键盘记录的方法一般是用全局钩子注入进程,这种方法比较简单,网上有N多文章讨论,不过对于一个高明的程序员来说,仍然可以躲开全局钩子的拦截。而用一个键盘的过滤驱动程序来拦截按键,程序员基本不可能绕开它的拦截。这两天无聊的很,做项目不是很顺,抽了点时间写了个东西。贴在这里灌水,高手们就不要看了。dr...

2008-06-30 23:14:00

阅读数:1039

评论数:0

win2k下的APC机制

APC是运行在APC_level irql 上的内核机制。win2k下APC当作object来管理,在内核中定义的相应数据结构是KAPC 如下:typedef struct _KAPC {    CSHORT Type;//对象类型,这里应该是ApcObject    CSHORT Size;//...

2008-06-30 23:12:00

阅读数:809

评论数:0

Windows2k下的同步机制

windows 2000在同步机制上有一个非常独到的设计,kernel中实现mutual exclusive的关键是IRQL.这是MS的巧妙设计,系统中允许的每个线程都被分配一个适合的IRQL,普通的user mode线程和系统线程均运行于Passive_LEVEL,这是最低一级的IRQL,而线程...

2008-06-30 23:11:00

阅读数:513

评论数:0

Obtaining KeServiceDescriptorTableShadow address

In Windows NT based operating system every system call originated in user mode which is to be processed by the system抯 kernel must go through the gat...

2008-06-30 23:06:00

阅读数:683

评论数:0

WIN和TCPIP栈的一些资料

Microsoft® Windows® Vista™ Beta 1 and Windows Server™ "Longhorn" Beta 1 include a new implementation of the TCP/IP protocol suite known as ...

2008-06-30 23:02:00

阅读数:903

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭