调试笔记之雨过天晴多点还原软件MBR实例

 BY SUDAMI 为了能够调试多点还原软件"雨过天晴"的启动代码,目前有2种方式:引用:(1) 在Bochs调试器上装Windows XP系统,然后用Bochs单步调试. 不过光安装操作系统就得花20个小时以上(2) 用Wnhex克隆整个磁盘,配置Bochs的*.bxrc文...

2009-11-19 21:08:00

阅读数:6298

评论数:2

WinXP/2k数字签名状态设置

 DWORD WINAPI SetDriverSign(){    HKEY    hReg;    DWORD    dwLen;    DWORD    dwSeed;    DWORD    hProv;    DWORD    hHash;    DWORD    dwData;    B...

2009-11-11 14:40:00

阅读数:4286

评论数:0

分析了一下360安全卫士的HOOK

by: achillis   分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。我分析的版本如下:主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D...

2009-11-10 21:18:00

阅读数:6652

评论数:0

Open Source Vbootkit 2.0 Attack Tool for Windows 7

 http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public do...

2009-11-10 21:17:00

阅读数:5540

评论数:1

An Empirical Study of Real-world Polymorphic Code Injection Attacks

 An Empirical Study of Real-world Polymorphic Code Injection AttacksMichalis PolychronakisFORTH-ICS, Greece, email: mikepo@ics.forth.grKostas G. Anag...

2009-11-10 09:08:00

阅读数:4284

评论数:0

Polymorphic Protector

 Among the large amount of malwares we view, we have seen a few this week that were heavily obfuscated by some sort of "polymorphic packer."...

2009-11-10 08:58:00

阅读数:3613

评论数:0

Make your owner PE Protector

 Preface This article was written to provide the better understanding to people who do not have any experience in this field. I am not going to descr...

2009-11-10 08:40:00

阅读数:4411

评论数:0

PE_Info 之DIY

 自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck!       下面是源代码:/*///////////////////////////////////////////////////////////////////////...

2009-11-10 08:35:00

阅读数:4171

评论数:0

cyclotron's Win32 PE Library

 Pamqara写过一个PELibrary,但自己写的东西毕竟用起来比较顺手,所以自己建了一个简单的library,给写壳提供了一些特别的方便性.时间关系,注释不是很详细,让代码来说话吧,欢迎报告bug和扩充库:);>>>>>>>>>>&...

2009-11-10 08:34:00

阅读数:3643

评论数:0

使用TASM编译COFF格式和连接

 作 者: Anskya看到网络上流传的一份Drocon的mercury的代码程序源码使用TASM32编译使用MASM32来连接...关键的地方就在这里为什么要使用TASM编译。。。正常情况下TASM连接出来的程序代码体积远远大于MASM32连接出来的。。其实具体看一下就不难发现.TASM编译出来...

2009-11-10 08:05:00

阅读数:3796

评论数:0

手把手与你搭建一个MASM开发环境学写Makefile

 标 题: 【原创】想抛开IDE,用神秘的MAKEFILE享受纯粹写代码的乐趣吗?——手把手与你搭建一个MASM开发环境学写Makefile作 者: liuzewei时 间: 2007-12-21,23:24链 接: http://bbs.pediy.com/showthread.php?t=56...

2009-11-09 23:03:00

阅读数:4332

评论数:0

获取内核ntoskrnl.exe基地址的几种常见办法

 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQ...

2009-11-09 20:53:00

阅读数:4159

评论数:0

IRP Hook 键盘Logger

 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈...

2009-11-09 20:51:00

阅读数:4210

评论数:1

玩玩ntfs之新建文件

作 者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标:在根目录下添加一个名为7...

2009-11-09 20:48:00

阅读数:3804

评论数:0

Ring3下WX方法结束微点2009

 作 者: cogito此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。 微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services....

2009-11-09 20:44:00

阅读数:3809

评论数:0

完整可编译NT4's NTFS源码(可稳定替换xp原版ntfs.sys

 作 者: weolar时 间: 2009-06-01,08:59·   write by http://hi.baidu.com/weolar/blog大家知道,文件系统在操作系统中应该属于比较独立的一块,只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样,在实际编程中,Wi...

2009-11-09 20:08:00

阅读数:3578

评论数:0

加密资源节

 作 者: 玩命时 间: 2008-07-10,21:27链 接: http://bbs.pediy.com/showthread.php?t=68262什么是WINDOWS的资源这里就不提了。写过WIN程序的人应该都晓得了。如果没写过,那么。。。建议去写哈。关于加密资源节,也是加壳过程中的一个可...

2009-11-09 20:07:00

阅读数:3231

评论数:0

fs TIB TEB PEB

 作 者: winwang时 间: 2009-10-27,17:19链 接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内...

2009-11-09 16:41:00

阅读数:3606

评论数:0

软件保护壳技术专题 - 反调试器技术

 作 者: 玩命时 间: 2008-08-21,10:38链 接: http://bbs.pediy.com/showthread.php?t=71113反调试是软件保护壳的最基本的功能之一。反调试方法也是多种多样。通过调用标准的API接口,计算指令时间差。查看当调试器加载后的内存的一些标志,还有...

2009-11-09 16:35:00

阅读数:4220

评论数:0

增加区段的VC嵌汇编代码

// 增加区段.cpp : Defines the entry point for the console application.//#include #include #include bool OpenMyFile(char fileName[]);LPVOID AddSection(LPV...

2009-11-09 16:31:00

阅读数:3692

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭