自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(469)
  • 资源 (40)
  • 收藏
  • 关注

原创 Win7 Wininit.exe任意加载/执行(漏洞)

Win7关机时会执行下列函数:

2022-04-07 00:06:50 1113

原创 IDA Pro切换到16bit模式,分析BootLoader

最近想写一篇关于Intel开机上电执行Reset Vector指令的文章,遂提取了公司笔记本芯片上的Bootloader,并用UEFITool提取其中BootBlock部分(Reset Vector位于BootBlock内部):[图1,UEFITool加载提取的Bios image][图2,从Bios Image中提取BootBlock]BootBlock的任务之一是将CPU从实模式切换到保护模式(16Bit Mode切换到32Bit Mode)。因此,BootBlock最开始部分是16

2022-03-17 00:20:43 404

原创 部署rtl88xx驱动/rpcapd,支持wireshark远程抓Wifi包

Kali Linux仅在局域网内做渗透测试略显大材小用,或许搭载飞行器随风远距离渗透更能体现它的初衷(隐蔽性强,或许可以不留痕迹!)。实现这个构想,需要解决一个核心问题:如何捕获远端局域网的网络流量?这个问题可以进一步分解为2个子问题:a.收集远端网络流量;b.回传收集的流量。为了解决这2个子问题,需要2块网卡(飞行器的问题,应该比较好解决):针对子问题a,使用具有Monitor功能的网卡;针对子问题b,使用其他任意类型无线网卡。下文将分类阐述:a.收集远端网络流量.可以断言,无线路由已经普及到各家

2022-01-09 23:55:57 11267 1

原创 使用Intel DCI/Inte System Debugger跟踪主机启动过程 中CSME/Bios信息

Background:1.每次开机遇到问题,如果需要Intel协助,Intel都会要求用DCI抓取开机日志,其中包含CSME/Bios/PMC等部件的输出,Intel基于此定位问题。2.去年11月参加了格蠹科技的DCI培训,正好缺这部分内容,打算用本文做补充。Limition&Notice:培训结束后,我手残把GDK7 bios下"DCI debug"设置错了,导致再也没法用GDK7自带的USB3.0 cable(准确的说是DCI-USB2/DCI-USB3 cable)调...

2021-08-05 23:14:42 2250

原创 windows driver response Power Event

#S5->S0Waiting to reconnect...USB2: Write openedConnected to Windows 7 19041 x64 target at (Sun Jun 6 13:33:03.551 2021 (UTC + 8:00)), ptr64 TRUEKernel Debugger connection established. (Initial Breakpoint requested)Symbol search path is: srv*C:\S..

2021-06-06 20:39:10 203

转载 WIN10手动替换系统文件

1、获得系统文件的管理所有权开始运行cmd 回车,然后任务栏命令提示符右键再右键 以管理员身份运行, cmd在命令提示符处,复制并粘贴(或键入)以下命令,然后按 Enter 键:【takeown /f Path_And_File_Name】注意:Path_And_File_Name 占位符代表系统文件的路径和文件名。例如,键入2.授予管理员完全访问系统文件的权限复制并粘贴(或键入)以下命令,然后按 Enter 键:【icacls Path_And_File_...

2021-06-06 20:35:46 1496

原创 [原创]ACPI.sys,从Windows到Bios的桥梁(2):Windows应用程序响应主板上GPIO(SCI)设备中断 软件篇

前篇<ACPI.sys,从Windows到Bios的桥梁(2):Windows应用程序响应主板上GPIO(SCI)设备中断 硬件篇>只完成了硬件部分,本文完成后半部分:在软件层接收和处理来自GPIO的SCI event。前文提到Bios将GPIO事件交由ACPI命名空间\_GPE处理,以软件工程的思维方式响应事件无非2种方式:a.事件接收方如能处理事件,则独自完成事件;b.事件接收方如不能处理事件,则交给下一环其他角色,以期他们完成事件;换到驱动的场景中:如果设备对象能处理IRP

2021-03-04 00:45:50 1366 3

原创 ACPI.sys,从Windows到Bios的桥梁(2):Windows应用程序响应GPIO(SCI)设备中断 Bios篇

序 2010年毕业那会,我首次接触到51单片机,当时发现51单片机如此简单却功能完备:尽管它没有搭载OS,却能接收GPIO Port上的设备事件并反过来控制Port上的设备。反观基于x86体系的PC,虽然功能强大,但终端用户却因为下列限制,很难控制主板上的设备(小到自己往主板上的装一个按键):a.主板厂商本着能省则省的原则,未必会在主板上保留空闲的GPIO Port;退一步,即使厂商出于某种原因,保留了空闲的GPIO Port,终端用户没有主板回路图,也无法找到这些GPIO Port;b...

2021-02-13 23:07:03 2273 1

原创 ACPI.sys,从Windows到Bios的桥梁(1.5):PCIe device 配置空间

在继续<ACPI.sys,从Windows到Bios的桥梁>系列之前,先暂停补充一下PCIe device MMIO相关的知识。PCIe MMIO比较复杂,推荐以这两篇文章入门:<System Address Map Initialization in x86/x64 Architecture Part 1: PCI-Based Systems> &<System Address Map Initialization in x86/x64 Architec...

2021-02-10 00:38:38 1163 1

原创 ACPI.sys,从Windows到Bios的桥梁(1):跟踪win7开启ACPI

由于windows设备驱动程序被设计成以设备堆栈(Device stack)的形式,下层驱动向上提供支持,所以我们习惯于不加思考的在设备栈的上层使用来自下层驱动的各种已有功能。当我还在做驱动程序时,经常见到这些句话:A1."功能驱动(Fdo)收到IRP_MJ_PNP&IRP_MN_START后,会向总线驱动(Pdo)查询并正确配置所需的硬件资源,如IO Port/IRQ/Mem等,然后才开始工作"。这段话我一直感到困惑:功能驱动的硬件资源来自总线驱动,那么总线驱动的资源由谁提供?可能有人...

2020-12-13 13:09:23 2014

原创 Windbg跟踪ACPI亮度设定

有阵子没更新博客了,趁着有空更新一下前阵子在工作遇到的内容:公司要出货一批笔记本,对屏幕亮度上限有限定。我无意中发现可以通过控制ACPI命名空间中Method(_BCL)的行为来实现该需求,虽然事后证明这种方式是错误的,但并不影响我记下windbg跟踪ACPI的方法。先简单介绍一下Method(_BCL)的作用,翻开ACPI Spec会看到下列定义:这是一个Bios提供给OS用于设置集显亮度百分比的接口(强调一下,仅设置集显,不包含外显)。对于Win10,Method(_BCL)在切换显示比列

2020-11-18 23:34:46 457

原创 解决EZP_XPro无法烧录

网购了一个烧录器:EZP_XPro(V2),造型山寨,卖家秀如下:到手后,卖家提供了简陋的安装包以及同样简陋的安装文档。如果在64位系统上,认真的按安装文档安装驱动,挫败感会扑面而来---无论怎么操作,设备管理器中设备EZP_Xpro始终挂着黄标,原因有2点:1.卖家的驱动包没有证书,在设备管理器中无法成功更新驱动Cause:驱动包缺少cat文件Solution:a.inf文件[Version]节中添加CatalogFile节点[Version]Signature = "

2020-09-23 21:59:30 1930 1

转载 IDA---未识别函数处理

有时候会遇到IDA无法自动识别某个函数,地址表现为红色, 如下:(附注:这种状态下无法反汇编)。选中这部分代码,进行如下操作:Edit -> Functions -> Create function然后就能愉快地F5了

2020-08-20 23:23:07 1458

原创 ACPI WMI 杂记

关于WMI ACPI,建议先通读:1.<[原创]BIOS知识点滴Follow Bini系列之---WMI ACPI>了解WMI ACPI能提供什么后,再参考MSDN 2.<Windows Instrumentation: WMI and ACPI>,另外,3.<文件系统驱动编程基础篇之4——Wmi管理规范 mof文件>也可以作为1.的补充。需要特别说明的,1.中留了demo程序,一般读者没有环境测试(也不建议用真实机器测试,万一不开机损失挺大的),这时倒可以参考我...

2020-08-08 14:48:36 2083

原创 解密OEM Bios导出给Windows的接口----导出OEM内部使用的WMI接口

Bios由于需要保证运行时的透明性,它只向提供该BIOS的OEM厂商开放部分接口。用户只能通过OEM提供的App/Driver读取和设置OEM Bios。另外,OEM也保留WMI接口用于设置BIOS,同样,WMI接口也对用户透明。虽然OEM企图瞒天过海,但并不意味着我们无法获取WMI接口。本文基于ThinkPad T460P提出一种获得WMI接口的方式。另外,据了解,WMI接口可能存在安全风险,所以,这可能给渗透测试者提供了新的利用BIOS方式。 Bios\Windows通过WMI相互通信...

2020-08-01 21:14:14 905

转载 Step to UEFI (137) 通过 BGRT 取得当前系统的 LOGO

对于BIOS来说,用户能够看到的是非常重要的事情。开机Logo就是这样。自从 Win8.1开始,Windows在进入桌面的时候可以显示用户自定义的Logo,而不是Microsoft自定义的图片,这是很有意思的事情。最近看了一篇介绍的文章,恍然大悟,原来是BIOS解压自己的Logo在内存中,然后通过ACPI Table将这个Logo传递给Windows,于是开机Logo比以前显示的时间更长更持久。具体的Table就是 Boot Graphics Resource Table。在 ACPI 6.1的5.2.

2020-06-17 17:25:53 1044 2

原创 对[我所认识的BIOS]系列 -- CPU的第一条指令 一文扩充(III):从源代码到 FFS 文件

本文会以 BdsDxe.ffs 的生成为例,介绍一下从 EFI 到 FFS的编译过程。所有的实验都是建立在UDK2015 NT32Pkg的基础上。首先,要保证NT32能够正常编译运行。之后,在 build目录中取得生成的BIOS文件:nt32.fd。使用 fmmt –v nt32.fd 查看一下这个BIOS的组成。可以看到其中只有一个 FV , 然后有 BdsDxe的ffs。我们可以在\Build...

2020-05-05 23:24:49 1739

原创 对[我所认识的BIOS]系列 -- CPU的第一条指令 一文扩充(II):从FDF到Bios Rom image

在"对[我所认识的BIOS]系列 -- CPU的第一条指令 一文扩充(I)"一文中,我用EFITool工具加载了BIOS Rom,发现Reset Vector位于BIOS Rom Image的最底部。本文将探索形成这样的Image结构相关的各种文件(.fdf/.fd/.fv等文件)。先说说我手头这个BIOS Rom,它由GenFv工具根据fdf文件生成:;引自Build\Platform...

2020-05-03 15:52:57 1471

原创 对[我所认识的BIOS]系列 -- CPU的第一条指令 一文扩充(I):Reset Vector和Bios Rom image

背景知识还是参考:[我所认识的BIOS]系列 -- CPU的第一条指令。工作的缘故,我能接触到Intel Comet Lake RVP board,同时也有IBV提供的Reference Code,所以本文不过是基于原作者的文章实操一遍。Step 0:Reference Code生成的Master Rom大小为32MB,下图是Master Rom布局(用UEFITool打开Master R...

2020-04-26 23:24:48 1155

原创 Win 8.1/10 x64平台 S3 Resume任意执行漏洞 (基于UEFI平台)

前言: 不知道这个漏洞之前有没有人发现并上报,我上报国家信息安全漏洞共享平台,对方要求我提供POC。我掂量了一下自己能力,觉得在驱动里实现POC难度挺高的,所以我就放弃了(当然,我已经顺手报给微软MSRC)。于是我就移步至此,记录调试过程。实验结论基于我前两篇文章:探索Windows S3唤醒函数 (一) 探索Windows S3唤醒函数 (二)。 从Win7开始,x64位平台需要在测试模...

2020-04-20 19:00:32 547

原创 探索Windows S3唤醒函数 (二)

在前面一篇文章中,已经定位到了变量HalpWakeVector,我也说过这是开启OS S3大门的钥匙,那这篇文章就应该是登堂入室了。1.从HalpWakeVector过度到HalpLowStubPhysicalAddress:hal模块对HalpWakeVector的引用不多,只有4处:但是现阶段只用到HalpSetupRealModeResume函数。.text:00000...

2020-04-14 13:31:13 465

原创 探索Windows S3唤醒函数 (一)

最近看UEFI中关于S3 Resume的实现,在Resume的最后阶段,UEFI通过SwitchStack执行OS的S3代码:UefiCpuPkg\Universal\Acpi\S3Resume2Pei\S3Resume.c:VOIDEFIAPIS3ResumeBootOs ( IN ACPI_S3_CONTEXT *AcpiS3Context, ...

2020-04-14 00:59:53 1280

转载 How To Setup A Wireless Access Point On Linux OS Using Hostapd

In this tutorial, i'll show you to setup a functional wireless access point (hotspot) on linux. We will host an access point and then configure some DHCP network paramters for settling in the traffic ...

2020-03-15 00:26:47 277

原创 UEFI ESRT表

Windows DevMgr中可以以更新驱动的方式更新ME/Bios/TPM模块。为了实现这个功能,离不开UEFI的ESRT表。ESRT的定义在MSDN上有详细描述,读者对ESRT表有基本概念后可以再看下ESRT表的实现。根据MSDN的定义,ESRT分两部分:EFI_SYSTEM_RESOURCE_TABLE:ESRT的描述符部分,用于描述EFI_SYSTEM_RESOURCE_ENT...

2020-03-11 14:57:36 1620

原创 Power IRPs处理注意点

<Programming the Microsoft Windows Driver Model>第8章8.1节提到处理Power Irp的注意点:"Power IRPs come to you in the context of a system thread that you must not block. There are several reasons why you ...

2020-03-08 23:23:26 245

转载 CWSP – 4 Way Handshake

In this post we will go through4-Way Handshakeprocess. This is described in Chapter 5 of CWSP Official Study Guide. Page 194 of this book shows the below RSN key hierarchy. Also watchthis CWNP vide...

2020-03-08 16:03:01 283

转载 CWSP -RSN Information Element

RSN-IE (Robust Security Network Information Element) is an optional field of variable length that can be found in 802.11 management frames.RSN element has an element ID of48& present in below di...

2020-03-08 15:42:02 357

转载 CWSP – EAP Basics

The Extensible Authentication Protocol (EAP) as defined inIETF RFC 2284provides support for many authentication methods.EAP was originally adopted for use with PPP, since been redefined inIETF RFC ...

2020-03-08 15:04:26 299

转载 Hashcat Tutorial – Rule Writing

前言:这篇文章提到了用mp.exe生成规则文件(或称字典),hashcat结合mp.exe生成的规则文件,进行Masker/hybrid攻击。进入hashcat-Maskprocessor页面,会发现可以用crunch替代。不过,Hashcat Tutorial – Rule Writing这篇文章不错,就转发出来吧。This is a follow-on to the post,Hashc...

2020-02-29 21:26:11 242

转载 Hashcat Tutorial – The basics of cracking passwords with hashcat

This post will walk through the basics for getting started with cracking passwords using Hashcat. I’ll cover installation, attack modes, generating a list of password hashes, building a dictionary, an...

2020-02-29 16:31:50 461

转载 Intel Management Engine, Explained: The Tiny Computer Inside Your CPU

The Intel Management Engine has been included on Intel chipsets since 2008. It’s basically a tiny computer-within-a-computer, with full access to your PC’s memory, display, network, and input devices....

2020-02-26 10:13:50 449

原创 Hydra爆破[无验证码]Web页面

Hydra是密码爆破神器,读者可以阅读这篇文章<Hydra – Brute Force Techniques>,了解Hydra支持的协议。其中,爆破Http登陆密码比爆破其他协议的密码更为复杂,本文将介绍如何爆破HTTP登陆页面的密码。HTTP有两种方式发送密码:Get Method和Post Method,后者比前者复杂,因此需要区别对待。0.区分Get/Post类型的登陆页面...

2020-02-16 15:20:37 4687 2

转载 Hydra – Brute Force HTTP(S)

In this tutorial, I will be demonstrating how to brute force authentication on HTTP and HTTPS services.Basic Hydra usage – HTTPhydra -l <USER> -p <Password> <IP Address> http-po...

2020-02-15 21:36:57 589

转载 Hydra – Brute Force Techniques

Hydra is a powerful authentication brute forcing tools for many protocols and services. In this tutorial, I will be showing how to brute force logins for several remote systems.Basic Hydra usageh...

2020-02-15 21:26:37 522

原创 字典生成器crunch问题汇总(移植到Windows/字符集)

1.Crunch移植到windows平台:1.1.cygwin64下编译Crunch会遇到如下错误:$ makeBuilding binary.../usr/bin/gcc -pthread -Wall -pedantic -std=c99 undefined crunch.c -lm -o crunchgcc: 错误:undefined:No such file or di...

2020-02-14 01:37:47 1646

转载 WPA 4次握手

一、why EALOP 4-way handshake为了解决无线传输不安全,需要对无线连接的接入进行控制,并实现帧传播的加解密。WPA 4-way handshake有点相当于一个“安全”地协商“交换”秘钥的过程。这个秘钥就是PTK(PairwiseTransient Key),成对传输秘钥。二、WPA 4-way handshake过程1.一个简单的4-way ha...

2020-01-25 15:35:54 521 1

转载 关于4次握手及握手之前PMK的生成的理解

关于成对密钥与组密钥的结构 1.成对密钥 PMK 是基本元素 然后通过 supplicant MAC(SA), supplicant nouces(SN),authenticator MAC(AA),authenticator nouces(AN)进行扩展获得PTK (Pairwise Transient Key) 成对传输密码. 公式如下: PTK=SHA1_PRF(P...

2020-01-25 15:10:13 1406 1

转载 无线局域网安全(三)————CCMP加密

Counter Mode with Cipher-Block Chaining Message Authentication Code Protocol(CCMP)CCMP加密在802.11i修正案中定义,用于取代TKIP和WEP加密。CCMP使用AES块加密算法取代WEP和TKIP的RC4流算法,它也是WAP2指定的加密方式,因为AES加密算法是和处理器相联系的,所以旧的设备中可以支持WEP...

2020-01-25 13:48:57 838

转载 无线局域网安全(二)————TKIP加密

Temporal Key Integrity Protocol (TKIP) 临时秘钥完整性协议TKIP是用来解决WEP容易被破解而提出的临时性加密协议,它并不是802.11推荐的强制加密协议, 简单来说,TKIP主要是用来加强WEP加密,这个升级主要体现在算法上,这一点很重要,为什么这么说呢?因为使用TKIP加密,并不需要进行硬件的升级,也就是说只要你的硬件支持WEP加密,那么同时也能够支持...

2020-01-25 12:44:59 1362

原创 使用无线信号特性,查找和终结快捷宾馆中摄像头的一种方法 (无线安全?一点都不安全 开篇)

各位在快捷宾馆住宿时有没有遇到或者担心遇到什么糟心事?被针孔摄像头偷拍算不算一件很糟心的事?本文提出一种方法来应对这种情况。 针孔摄像头拍摄后势必会通过网络将视屏传送给安装者。由于针孔摄像头的隐蔽性,摄像头不会使用有线网络,剩下的选项就是无线网络了。无线网络有2种选项:a.插入SIM卡,通过4G网络传输;b.使用快捷酒店会提供的WIFI。选项b的投入比选项a小,而且便于集成,另外...

2019-12-14 15:48:51 969 2

线程局部存储TLS

windows线程局部存储TLS原理与解释

2015-07-06

越过 __chkesp 检测的缓冲区溢出

越过 __chkesp 检测的缓冲区溢出

2015-07-04

产生chkesp的函数调用方式

产生__chkesp的函数调用方式.pdf

2015-07-04

VS2008 Debug与Release的本质区别

VS2008 Debug与Release的本质区别

2015-06-29

Packing DLLs in your EXE

Packing DLLs in your EXE

2015-06-29

延迟加载库 DelayLoadHook.zip

延迟加载库 DelayLoadHook.zip

2015-06-29

延迟加载库 DelayLoadException.zip

延迟加载库 DelayLoadException.zip

2015-06-29

延迟加载库 DelayLoadDemo.zip

延迟加载库 DelayLoadDemo.zip

2015-06-29

C++标准程序库.pdf

侯捷著 C++标准程序库 讲述stl容器库

2012-10-11

虚拟设备驱动程序开发起步与进阶

windows虚拟设备驱动程序开发起步与进阶

2012-10-11

tdi防火墙 过滤驱动

开源个人防火墙源码 学习驱动和防火墙的不错资料

2011-08-22

Exploit 编写系列教程第四篇_编写Metasploit exploit.pdf

Exploit 编写系列教程第四篇_编写Metasploit exploit.pdf

2011-07-06

Exploit 编写系列教程第三篇_基于SEH的Exploit

Exploit 编写系列教程第三篇_基于SEH的Exploit

2011-07-06

Exploit编写系列教程第二篇-跳至shellcod

Exploit编写系列教程第二篇-跳至shellcod.pdf

2011-07-06

Exploit 编写系列教程第一篇

Exploit 编写系列教程第一篇.pdf

2011-07-06

windows driver foundation

微软出版社出版,介绍wdf驱动开发模型。应该是好书

2011-07-06

Windows设备驱动程序技术内幕.pdf

Windows设备驱动程序技术内幕.pdf

2011-04-16

tc参考手册

一本有关tc的参考手册

2008-07-09

vc6.0类库

vc6.0类库参考手册2

2008-07-08

vc6.0类库

vc6.0类库参考手册1

2008-07-08

Win7 Wininit.exe任意加载/执行(漏洞) 附件

Win7 Wininit.exe任意加载/执行(漏洞) 一文 附件

2022-04-07

ntoskrnl.idb

ntoskrnl.idb源自ntoskrnl.sys,分析了部分电源管理相关的内核函数 后续继续更新

2020-05-29

xp ntoskrnl.zip

windows xp ntoskrnl.sys/ntoskrnl.pdb/ntoskrnl.idb

2020-05-21

Windows 10 x64 hal.zip

Win 8.1/10 x64平台 S3 Resume任意执行漏洞 附带zip 原文URL:https://mp.csdn.net/console/editor/html/105641988

2020-04-20

hawkes_intel_microcode.pdf

Introduction All modern CPU vendors have a history of design and implementation defects, ranging from relatively benign stability issues to potential security vulnerabilities. The latest CPU errata release for second generation Intel Core processors describes a total of 120 "erratums", or hardware bugs. Although most of these errata bugs are listed as "No Fix", Intel has supported the ability to apply stability and security updates to the CPU in the form of microcode updates for well over a decade*. Unfortunately, the microcode update format is undocumented. Researchers are currently prevented from gaining any sort of detailed understanding of the microcode format, which means that it is impossible to study the updates to clearly establish whether any security issues are being fixed by microcode patches. The following document is a summary of notes I gathered while investigating the Intel microcode update mechanism. * The earliest Intel microcode release appears to be from January 29, 2000. Since that date, a further 29 distinct microcode DAT files have been released.

2019-12-08

Kali Linux网盘链接

=kali合集。打包到网盘,只收3分,还算合理吧,嗯

2018-11-20

What-makes-it-page

What-makes-it-page资源分享

2018-11-20

加强版lib2sig批处理脚本 批量对lib文件进行签名

改装后的lib2sig脚本,可以批量对lib文件进行签名,方便多了~!

2018-09-27

Wireshark系列之6 数据流追踪

Wireshark系列之6 数据流追踪 一文用到的资源 wireshark包

2018-08-17

sqli-labs盲注脚本

sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本

2018-06-24

windbg 调试器扩展

windbg 调试器扩展。扩展后可以给页面下调试断点! windbg 调试器扩展。扩展后可以给页面下调试断点!

2018-06-21

load_file参考资料

load_file参考资料 从exploit.db上找到的资料 load_file参考资料 从exploit.db上找到的资料

2018-06-02

Anti-DBG.zip

PLIST_ENTRY GetPsActiveProcessHeadAddr() { PLIST_ENTRY PsActiveProcessHeadAddr = NULL; NTSTATUS status; PEPROCESS eProc = NULL; status = PsLookupProcessByProcessId((HANDLE)4, &eProc); if (!NT_SUCCESS(status)) return NULL; #ifdef WIN32_XP PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0x88))->Blink; #elif WIN32_7 PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0xb8))->Blink; #endif //PsActiveProcessHeadAddr = eProc->ActiveProcessLinks->Blink; ObDereferenceObject(eProc); return PsActiveProcessHeadAddr; }

2017-09-23

Anti-DbgV2.zip

DdgSsReserve句柄清零 PLIST_ENTRY GetPsActiveProcessHeadAddr() { PLIST_ENTRY PsActiveProcessHeadAddr = NULL; NTSTATUS status; PEPROCESS eProc = NULL; status = PsLookupProcessByProcessId((HANDLE)4, &eProc); if (!NT_SUCCESS(status)) return NULL; #ifdef WIN32_XP PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0x88))->Blink; #elif WIN32_7 PsActiveProcessHeadAddr = ((PLIST_ENTRY)(((char*)eProc) + 0xb8))->Blink; #endif //PsActiveProcessHeadAddr = eProc->ActiveProcessLinks->Blink; ObDereferenceObject(eProc); return PsActiveProcessHeadAddr; }

2017-09-23

checked build acpi.sys

适合win7 RTM x86 checked build的Acpi.sys 可以用来测试张银奎ACPI那一章 因为我找了一周 所以象征性收1个积分

2016-10-29

调试驱动程序安装错误

转自高级调试论坛 介绍了setupapi.dev.log文件中日志的含义

2016-10-25

addfilter vc++

安装过滤驱动的代码

2016-08-07

devcon参考文档

网上搜集的驱动预安装的文档

2016-08-07

finally分析

vc++6.0对windows SEH机制处理和实现

2015-08-12

TLS反调试的前世今生

TLS反调试的前世今生

2015-07-06

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除