Analyzing local privilege escalations in win32k

 mxatone mxatone@gmail.com  Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and...

2009-01-15 09:30:00

阅读数:3334

评论数:0

MS09-001漏洞基本分析

This Black Tuesday (the 13th, no less), Microsoft released the first security patch of 2009. This patch addresses three vulnerabilities in the SRV.SY...

2009-01-15 09:29:00

阅读数:4854

评论数:0

【Windows源码分析】(一)初始化内核与执行体子系统

 作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来...

2009-01-08 10:08:00

阅读数:4634

评论数:3

运行程序前执行自己的代码

 作 者: 救世猪 来看雪两年多了,到现在还是个相当菜的菜鸟,只索取,从来没有过回报,因为水平太次,实在是写不出来什么~   这个小程序实际是做毕业设计的时候写的,当时写完之后,没有太大的问题了,就没有再改(能蒙混过关就是目的),里面现在仍然是bug多多。它主要是利用Tls CallBack来实现...

2009-01-08 09:45:00

阅读数:3794

评论数:0

线程调度的监视

 pjf(jfpan20000@sina.com)    接着上次的小话题说。    上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看...

2009-01-08 09:44:00

阅读数:2829

评论数:0

HOOK SwapContext 枚举隐藏进程(学习笔记4)

 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有...

2009-01-08 09:40:00

阅读数:3321

评论数:0

Icelight驱动部分完整逆向(源代码)

 by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是...

2009-01-08 09:36:00

阅读数:2656

评论数:1

MBRPROT -- Object Hijack(Deep disk filter without hook or function replace)

 by mj0011#include "ntddk.h"#include "ntifs_48.h"#include "zwfunc.h"#include "stdafx.h"#include "srb.h&q...

2009-01-08 09:32:00

阅读数:1405

评论数:0

NDIS驱动学习笔记

by  ufphpc从Ndis Intermediate Miniport driver说吧,参考passthruNTSTATUSDriverEntry(    IN    PDRIVER_OBJECT        DriverObject,    IN    PUNICODE_STRING ...

2009-01-08 09:30:00

阅读数:3490

评论数:0

漫谈Fuzz测试技术 ——软件安全专家王清谈Fuzz技术与软件安全性测试

 Part 1  Security Testing Overview 我相信大家对测试不陌生,但是对安全测试可能有一些疑问。安全测试关心的问题是不一样的。这种测试也被人叫做工具测试、渗透测试、攻击测试、测试产品安全性。 这种测试需要首先知道各种各样的攻击的方式和原理,在攻...

2009-01-08 09:23:00

阅读数:2720

评论数:0

混淆字符串

基础知识 物极必反。我们已经研究了阅读Windows内核的方法,现在开始讨论在我们自己的驱动编码中采用特殊的编码方法,来简单地防止反汇编阅读。这是有趣的一种事态:一方面我们研究如何阅读别人的(尤其是MS的)代码;另一方面,我们不得不采取措施保护自己的技术不被他人简单地窃取。 我...

2009-01-08 09:22:00

阅读数:6270

评论数:0

走近虚拟机 ——McAfee研究员孙冰谈虚拟机技术和虚拟机安全

 一、关于虚拟机技术的背景知识 1、Emulator和Virtualizer的区别 现在很多杀毒软件里面有所谓的智能脱壳功能,其实它就是用一个Emulator模拟器来解释执行机器指令,比如说x86的机器语言是一条一条来被翻译执行的。而Virtualizer并不是由软件来模拟...

2009-01-08 09:22:00

阅读数:3748

评论数:0

换一种方式做加密

 什么是扭曲加密变换呢?这是我开发的一款软件,可能官方的名词叫做“混淆加密”,我给自己的软件起名叫做扭曲加密变换技术。我断断续续用了一年多的时间开发这款软件,但是没做什么推广,这款软件直到现在不对外公开的。 现在加密变换适用于VC6、VS2005、VS2008等这么几个平台,下面我给...

2009-01-08 09:21:00

阅读数:3214

评论数:0

.NET对PE结构的扩展

 可执行文件的格式是反映一个系统程序运行机制的重要方面,Win32下可执行文件是读者已经非常熟悉的PE格式,在.NET系统中,运行机制的改变带来了可执行文件格式的扩展。一方面,.NET建立在Win32/64的基础上,兼容性的要求决定了.NET的可执行文件必须是在PE的基础上进行扩展;另一方面,Wi...

2009-01-08 09:20:00

阅读数:2780

评论数:0

DeDe反编译器

Delphi/C++Builder采用控件拖放的方式来完成界面的设计,并和事件联系起来。而这些信息以资源(RCDATA)的方式存放于可执行文件中。DeDe便利用这个原理进行反编译,获取相关信息,将界面与事件联系关系还原,但事件的汇编代码不能还原。DeDe公开了源代码,感兴趣的读者可以研究一下。 ...

2009-01-08 09:19:00

阅读数:3982

评论数:0

进入2009,以此纪念

还有更多的期待...

2009-01-01 00:04:00

阅读数:1250

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭