- 博客(131)
- 资源 (6)
- 收藏
- 关注
原创 SecotrReadWrite
NTSTATUS SecotrReadWrite( PDEVICE_OBJECT pDeviceObject, PIO_STATUS_BLOCK pStatus, int cbSectorLower, int cbSectorTotal, PVOID puchData, UCHAR cWriteDisk ) { NTSTATUS nStatus; K
2008-07-31 11:53:00 733
转载 Bypass RestoreSystem
来自 rodog病毒 //感谢QQ上某某兄弟的放出来的rodog病毒无壳无下载者版本~ #define PCIHDD_DR0DEVICE_NAME L"//Device//Harddisk0//DR0" PDEVICE_OBJECT HddDr0Device = NULL; PDEVICE_OBJECT HddAttDevice = NULL; void BypassDisk() {
2008-07-31 11:52:00 791
原创 bypass HIPS CreateRemoteThread Monitor
Author:kruglinski(kruglinski_at_sohu_dot_com) site:http://hi.baidu.com/kruglinski date:2007.10.21 CreateThread +CreateRemoteThread +NtCreateThread +PspCreateThread +ObReferenceObjectByHandle inline H
2008-07-31 11:50:00 738
原创 Bypass FsdFilter
//by qiqi void ClearFilters(WCHAR * Name) { UNICODE_STRING TName; PDRIVER_OBJECT TDrvObj; PDEVICE_OBJECT CurrentDevice; NTSTATUS status; RtlInitUnicodeString ( &TName, Name);
2008-07-31 11:49:00 802
原创 Encryption/decryption system for USB storage devic
Author : Rajesh Nath Introduction Plug-n-Play USB mass storage devices have become one of the biggest Information Security threats. USB Mass Storage Devices (MSD’s) can be used to carry out data in h
2008-07-31 11:42:00 1197
转载 antivirus protect SSDT hook
//By killvxk void KAVSafe() { LimitNumber = KeServiceDescriptorTable->ntoskrnl.ServiceLimit; mySST = (PULONG)ExAllocatePoolWithTag(NonPagedPool,LimitNumber * 4+20,vxk); mySSTParamTable = (PUCHAR)Ex
2008-07-31 11:41:00 825
转载 Kaspersky Anti-Virus Driver Decrypt code
//By MJ0011 #include "stdafx.h" #include "windows.h" #include "winbase.h" #include "malloc.h" unsigned char data[256] = { 0x42, 0xA3, 0x53, 0x04, 0x4D, 0x4B, 0xA3, 0xC4, 0xEC, 0xF8, 0xE5, 0x41, 0x9D,
2008-07-31 11:39:00 744
原创 Sample Hips With main code
/来自 瑞星公司 #include #include #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; //Used only in checked build unsigned int N
2008-07-31 11:37:00 843
转载 Monitor process+driver+register
* hookzwcreateprocess.C Author: Last Updated: 2007-11-17 This framework is generated by EasySYS 0.3.0 This template file is copying from QuickSYS 0.3.0 written by Chunhua Liu */ // *****************
2008-07-31 11:36:00 818 1
原创 监控远程线程代码
原理参考http://zhidao.baidu.com/question/35829777.htmlNTSTATUSHookNtCreateThread( IN PNtCreateThread OrgFunction, OUT PHANDLE ThreadHandle, IN ACCESS_MASK DesiredAcc
2008-07-31 11:23:00 847
原创 利用DNS漏洞攻击的Ruby代码
1 require msf/core 2 require net/dns 3 require scruby 4 require resolv 5 6 module Msf 7 8 class Auxiliary::Spoof::Dns::BaliWickedHost 9 10 include Exploit::Remote::Ip 11 12
2008-07-31 10:49:00 1159
原创 内存修改器
//用宏主要是为了实现看到名字知道其意义,且修改时可以很方便//定义人物各个属性地址宏#define JINQIANADDRESS 0x0072D1E8//王小虎属性地址#define WANGJINGYANADDRESS 0x0072C2DC#define WANGTILIADDRESS 0x0072C2E4#define WANGZHENQIADDRESS
2008-07-31 10:46:00 1668
原创 驱动和应用层的三种通信方式
作 者: sislcb时 间: 2008-01-04,11:57链 接: http://bbs.pediy.com/showthread.php?t=57666驱动程序和客户应用程序经常需要进行数据交换,但我们知道驱动程序和客户应用程序可能不在同一个地址空间,因此操作系统必须解决两者之间的数据交换。驱动层和应用层通信,主要是靠DeviceIoControl函数,下面是该函数的原型:BOOL De
2008-07-31 10:42:00 1642
原创 VS2008、DDK XP和DDKWizard搭建驱动开发环境
作 者: bleyes时 间: 2008-07-26,23:03链 接: http://bbs.pediy.com/showthread.php?t=69395VS2008、DDK XP和DDKWizard搭建驱动开发环境 在Windows XP下,VisualStudio6.0的编译器无法直接对DDK XP的文件进行编译,命令行方式使用起来不方便,无法享受IDE带来的便利,因此,寻找
2008-07-31 10:41:00 1053
原创 Adobe Acrobat Reader 漏洞分析过程
些天朋友给了一个pdf的poc,让分析一下其漏洞的成因,终于在最近有了头绪,现将分析思路整理归纳一下。 由于以前没有研究过pdf,所以先找到pdf的结构资料及说明文档,大概有所了解后。开始有针对性的对poc进行Fuzzing测试,定位出了文件中0x5455(不同poc可能不一样)开始的一段数据是shellcode。修改代码使之进入死循环。然后打开poc,用softice断下来,
2008-07-31 10:39:00 1036
原创 ASPr带壳调试+壳内存CRC分析+Inline Loader
作 者: wynney时 间: 2006-11-09,18:40链 接: http://bbs.pediy.com/showthread.php?t=34659【文章标题】: ASPr带壳调试+内存校验完整分析+Inline Loader[Delphi开源]+语音使用录象【文章作者】: wynney【作者主页】: http://ReverserCracker.Spaces.Live.Com【软件
2008-07-31 10:28:00 4375
原创 Sysinternal出品工具TcpView的驱动逆向源代码
标 题: 【原创】Sysinternal出品工具TcpView的驱动逆向源代码作 者: vxasm时 间: 2008-07-28,22:24链 接: http://bbs.pediy.com/showthread.php?t=69543TcpView 简介 TcpViews是一款免费的端口和线程监控工具,可以列出当前所有TCP和UDP端口的进程清单,包括本地和远程地址的TCP
2008-07-31 10:02:00 1927 1
原创 例说Exe程序作为DLL进行加载
作 者: nbw时 间: 2008-07-17,23:05链 接: http://bbs.pediy.com/showthread.php?t=68730例说Exe程序作为DLL进行加载调用第三方exe程序里面的函数,一直是大家所向往并已经讨论过不少的问题,其方法大体有三类:1、让第三方exe启动,然后自己程序注入进去调用之;2、让第三方exe启动,然后远程读入其内容;3、把第三方exe,当作D
2008-07-31 09:59:00 2589
原创 Rootkit Unhooker驱动逆向分析
这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学 window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免, 高手请飘过,希望对菜鸟学习有点帮助.1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是
2008-07-25 09:11:00 1591 1
原创 A Catalog of Local Windows Kernel-mode Backdoor Techniques
skape & Skywing mmiller@hick.org & Skywing@valhallalegends.com Abstract: This paper presents a detailed catalog of techniques that can beused to create local kernel-mode backdoors on Windows.
2008-07-24 21:31:00 2467
原创 Improving Software Security Analysis using Exploitation Properties
skape mmiller@hick.org AbstractReliable exploitation of software vulnerabilities has continued to become moredifficult as formidable mitigations have been established and are now includedby defaul
2008-07-24 21:28:00 860
原创 ActiveX - Active Exploitation
warlord warlord@nologin.org http://www.nologin.orgShare what I know, learn what I dont1) ForewordFirst of all, Id like to explain what this paper is all about, andespecially, what it is not. A few
2008-07-24 21:27:00 929
原创 CreateProcessAsUser Function
Creates a new process and its primary thread. The new process runs in the security context of the user represented by the specified token.Typically, the process that calls the CreateProcessAsUser
2008-07-24 21:12:00 2569
原创 给已连接的某个特定客户开一个共享目录
http://msdn.microsoft.com/library/en-us/netmgmt/netmgmt/netshareadd_sample_windows_95_98_me_.asp NT always uses user-level security. shi2_permissions structure member will be ignored on a server ru
2008-07-24 21:11:00 658
原创 obj2asm
// 这个的工具的目标把 coff obj 转换为 asm 后,可以在使用 masm 汇编为 obj./*written by dummyz@126.com 2007/02/24*/#include #include #include #include #include #include #include #include #include #include #include #includ
2008-07-23 18:06:00 1271 1
原创 About RIP relative addressing
Something that everyone wonders about is RIP relative addressing on x64 systems. Its the default addressing mode in 64-bit programs.RIP relative addressing basicly means that you access memory
2008-07-23 18:04:00 1571
原创 Linux HAL (Hardware Abstraction Layer)的工作原理
作者联系方式:Li XianJing 更新时间:2007-5-3HAL是Hardware Abstraction Layer的首字母缩写。我最早是在Winnt 3.5的帮助中知道这个名词的,对帮助文档中的说法我比较认同,所以一直对它抱有好感。不过Windows下的HAL和Linux下的HAL两者所指并非相同之物:Windows下的HAL:位于操作系统的最底层,直接操作物理硬件,
2008-07-23 18:03:00 901
原创 Mozilla研究—组件加载机
Mozilla研究—组件加载机制转载时请注明出处和作者联系方式:http://blog.csdn.net/absurd作者联系方式:Li XianJing 更新时间:2007-3-5mozilla 是一个以浏览器为中心的软件平台,它在我们平台中占有重要地位。我们用它来实现WEB浏览器、WAP浏览器、邮件系统、电子书和帮助阅读器等应用程序。为此,我最近花了不少时间去阅读moz
2008-07-23 18:01:00 616
原创 探索 Linux 内核虚拟机
. Tim Jones (mtj@mtjones.com), 顾问工程师, Emulex2007 年 5 月 28 日Linux 既有良好的灵活性,在虚拟化方面同样出色。但是最近,随着内核虚拟机(KVM)的出现,Linux 虚拟化的前景发生了变化。KVM 是构成主流 Linux 内核(V2.6.20)一部分的第一个虚拟化解决方案。KVM 支持 Linux 客户操作系统的虚拟化 —— 甚至
2008-07-23 17:59:00 998
原创 sizeof_function(函数代码长度)
/*author: dummyz@126.com*/typedef struct _code_block { uint8_t* code; // 指令存放位置 ulong base; // 参考处理地址 size_t size; // 指令最大大小} code_block;size_t sizeof_function(code_block* b
2008-07-23 17:59:00 888
转载 dump 使用小工具设计
/*;配置文件格式[hook_1]dll=kernel32.dllfun=GetModuleHandleAmin_addr=0x1000000max_addr=0x2000000*/#include #include #include #define MAX_HOOK_FUNCTION 100typedef struct _HOOK_FUNCT
2008-07-23 17:56:00 931
原创 LookupXRef_在重定位数据中查找所有引用 SymAddr 的地址
////////////////////////////////////////////////////////////////////////// 在重定位数据中查找所有引用 SymAddr 的地址// ex: mov eax, [g_hModule] ; SymAddr 即 [] 中的数字,而要查找的是 [] 所在的“位置”// 如果进行查找是个地址表或是函数地址,那进行 hoo
2008-07-23 17:53:00 906
原创 Windows Vista用户帐户控制深度剖析
文章作者 盆盆 技术难度 Level300 内容简介 本文详细介绍了用户帐户控制(UAC)的应用程序标识、安全桌面和虚拟重定向等深层原理。详细描述了用户帐户控制对用户的价值,并且总结为什么不能禁用 UAC的若干理由。更重要的是,本文还就用户广为诟病的UAC问题提出比较巧妙的解决方案,既能尽可能规避UAC所带来的麻烦,又能保留UAC的安全性。 原始链接 http://blogs.itecn.n
2008-07-23 17:50:00 822
原创 dll2cpp
// 根据 dll 的输出表和 c 头文件,产生中间文件 。编译好,主要用于替换系统 dll, 监视// 更详细的操作(windows 核心编程上有这种工具的介绍,忘记在哪张了)。 // 避免过多的 hook 问题。// 记得有前辈写过这个工具,但是没有找到。只好发点时间自己写了, 其中还有一些问题没有解决,需要手动修改/*author: dummyz@126.com*/#pragma warn
2008-07-23 17:46:00 1043
原创 GetFlv__hookIAT
//////////////////////////////////////////////////// Hook.h/*written by dummyz@126.com2007/10/20*/#ifndef __HOOK_INC__#define __HOOK_INC__typedef struct _HOOKIMPORT{ FARPROC pfnOldProc; FARPROC
2008-07-23 17:41:00 733
原创 使用 FUSE 开发自己的文件系统
使用用户空间的文件系统(FUSE),您无需理解文件系统的内幕,也不用学习内核模块编程的知识,就可以开发用户空间的文件系统 框架。本文是一篇简单的逐步介绍的指南,内容包括安装、定制和启用 FUSE 和 AFS,这样您就可以在 Linux® 的用户空间中创建自己的功能完备的文件系统了。文件系统是一种用来存储和组织计算机文件、目录及其包含的数据的方法,它使文件、目录以及数据的查找和访问得到简化。如果
2008-07-23 17:38:00 1151
原创 mimisys pack v0.1
作 者: dummy时 间: 2008-04-19,20:07链 接: http://bbs.pediy.com/showthread.php?t=63403mimisys pack 是一个驱动简单文件壳。驱动文件的处理比 r3 简单很多,许多不要关心,但还有几点比 r3 不同,注意一下。以前也做过一个sys加密壳,但是没有代码组织好,导致稳定性极差,这个版本是完全重写的版本,没有做很多复杂的东
2008-07-23 17:37:00 691
原创 暴风影音2008Beta1 最新远程溢出 0day 分析
dummy@ph4nt0m.org已近将此漏洞报给暴风.声明:纯技术研究,禁止将本文相关代码非法用途!后果自负!下载地址: http://dl.baofeng.com/storm3/storm2008-beta1.exe一、漏洞分析 今天下午帮同事查找一个软件和新版本暴风兼容性的问题,发现其新增了新的模块,回来就试了一下,运气真好被我到一个远程溢出。
2008-07-23 17:28:00 815
原创 SYSTEM帐户、登录会话和窗口站
利用SYSTEM登录会话里已有的某个进程A,帮助我们创建一个子进程B,进程B会自然而然地在SYSTEM登录会话里运行--从而具有SYSTEM帐户的特权。 可能有不少读者兄弟还记得盆盆以前写过一篇文章《超级另类法用SYSTEM帐户登录系统》,描写如何以SYSTEM权限启动Windows XP中的Explorer进程,从而得以通过变相的手段以SYSTEM帐户身份登录系统。 在Wi
2008-07-23 11:43:00 1466
原创 flash漏洞所用shellcode的分析(old)
作 者: 轩辕小聪时 间: 2008-06-02,19:29链 接: http://bbs.pediy.com/showthread.php?t=65907作者主页: http://hi.baidu.com/yicong2007目 的: 纯属学习,请勿用于恶意用途最近几天flash漏洞的网马非常流行,于是我想分析一下shellcode是怎么跑的。但是能力所限,还难以像大牛们一样定位到有漏洞的代码
2008-07-23 11:15:00 1102
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人