liujiayu2的专栏

玩点技术

IDT系列:(二)中断处理过程,使用bochs调试IDT中的中断服务程序

一、中断处理的过程   根据Intel 64 and IA-32 Architectures Software Developer’s Manual 的介绍,在中断或异常产生是,CPU会将当前执行的指令(或下一条指令)在内存中的地址,也就是EIP的值,放入栈中,同时还会放入CS段寄存器和efl...

2017-06-30 10:41:21

阅读数:338

评论数:0

IDT系列:(一)初探IDT,Interrupt Descriptor Table,中断描述符表

IDT,Interrupt Descriptor Table,中断描述符表是CPU用来处理中断和程序异常的。   一、有关IDT的基本知识 1、中断时一种机制,用来处理硬件需要向CPU输入信息的情况。 比如鼠标,键盘等。 2、中断和异常的产生是随机的,在CPU正常运...

2017-06-30 10:40:27

阅读数:187

评论数:0

简单地隐藏驱动分析

当系统加载一个驱动时,会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体,DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义: typedef struct _KLDR_D...

2017-06-30 10:30:56

阅读数:205

评论数:0

用SSDT方法恢复冒险岛的部分函数

看了那么多文章、视频,现在自己跟着做下恢复的驱动程序吧。今天拿冒险岛的HS驱动做为例子吧。冒险岛游戏对Xuetr进行检测了,打开XueTr不久就会游戏发现非法模块,最终游戏关闭。就拿上了一款叫Kernel Detective的ARK工具进行检测冒险岛的驱动吧。   因为Kernel Detect...

2017-06-30 10:28:55

阅读数:291

评论数:0

来自看雪的手把手调试DebugPort清零

现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 EPROCESS->DebugP...

2017-06-30 10:26:42

阅读数:797

评论数:0

网上一个仿TP挂钩内核的源码

最近研究TESSAFE.SYS的驱动,GOOGLE搜索到微点也是一样的手法HOOK call ObOpenObjectByPointe,把不完整的代码给编写实现了下。未实现检测,应该是有修改我的代码或恢复HOOK call即重启或蓝屏,我为了方便没实现,下载我改动后驱动文件,用来保护记事本不被OP...

2017-06-30 10:25:44

阅读数:286

评论数:0

针对某游戏保护DebugPort清零的一次逆向

作 者: 悲歌 首先还是先了解一下DebugPort吧,百度之后得到了如下结果  -------------------------------此处转贴------------------------------------ 每个进程都有一个数据结构,EPROCESS,这个结构是在内核里面的...

2017-06-20 15:13:57

阅读数:449

评论数:0

隐藏驱动模块(源码)

XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏的驱动某块,比如kernel detective 和PChunter 但...

2017-06-16 13:33:16

阅读数:803

评论数:0

内核隐藏进程(源码)

自己测试的时候编译失败了,提示是这个PsGetProcessImageFileName API找不到链接库,目测可能是我的DDK版本不够新,先记录下,改天再升级ddk做测试。 #include    #include    #include       NTKERNE...

2017-06-16 12:56:55

阅读数:770

评论数:2

EXE和SYS通信MiniFilter基于事件方式

[cpp] view plain copy #ifndef _HEADER_HEAD_FILE   #define _HEADER_HEAD_FILE   #pragma once   #include    #include    #include    ...

2017-06-14 17:34:32

阅读数:201

评论数:0

EXE和SYS通信IOCTL方式

EXE部分 [cpp] view plain copy #ifndef  IOCTLS_H   #define  IOCTLS_H         #ifndef CTL_CODE   #pragma  message("CTL_CO...

2017-06-14 17:19:52

阅读数:201

评论数:0

EXE和SYS通信(ReadFile WriteFile) 其他方式

EXE部分 [cpp] view plain copy #include    #include       int main (void)   {       char linkname[]="\\\\.\\HelloDDK&quo...

2017-06-14 17:15:10

阅读数:120

评论数:0

EXE和SYS通信(ReadFile WriteFile DO_DIRECT_IO) 直接方式

EXE部分 [cpp] view plain copy #include    #include       int main (void)   {       char linkname[]="\\\\.\\HelloDDK&quo...

2017-06-14 17:14:29

阅读数:178

评论数:0

EXE和SYS通信(ReadFile WriteFile DO_BUFFERED_IO) 缓冲区方式

EXE部分 [cpp] view plain copy #include    #include       int main (void)   {       char linkname[]="\\\\.\\HelloDDK&quo...

2017-06-14 17:13:51

阅读数:159

评论数:0

EXE与SYS通信(其他模式)

EXE部分 head.h [cpp] view plain copy #ifndef   CTL_CODE   #pragma message("\n \n-----------EXE . Include winioctl.h ")   #include ...

2017-06-14 17:11:45

阅读数:181

评论数:0

EXE与SYS通信(直接访问模式)

EXE部分 head.h [cpp] view plain copy #ifndef   CTL_CODE   #pragma message("\n \n-----------EXE . Include winioctl.h ")   #include ...

2017-06-14 17:10:59

阅读数:165

评论数:0

EXE与SYS通信(缓冲模式)

EXE部分 head.h [cpp] view plain copy #include //CTL_CODE   #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,  0x800,  METHOD_BUFFERED,FILE_ANY_...

2017-06-14 17:10:18

阅读数:204

评论数:0

详解反调试技术

反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间...

2017-06-09 13:24:07

阅读数:701

评论数:0

DbgPrint/KdPrint输出格式控制

在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。 KdPrint is identica...

2017-06-09 11:31:59

阅读数:251

评论数:0

SSDT表的遍历(源码)

//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN...

2017-06-08 11:22:03

阅读数:297

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭