![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Rootkit
文章平均质量分 73
OSReact
这个作者很懒,什么都没留下…
展开
-
让XueTr卸载不了我们的驱动
先上代码溜溜:#include void testUnload(IN PDRIVER_OBJECT DriverObject){}NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp){ Irp->IoStatus.Status = STATUS_NOT_SU原创 2012-07-12 02:21:54 · 1245 阅读 · 0 评论 -
昨日的病毒简单分析了下【附Bin样本】
由于里面的文件比较多,我只大概分析了一下,错误之处大家分析后指出来!我也不知道怎么感染这病毒的,幸好我电脑没联网,要不然!里面涉及技术比较多大家可以慢慢挖出来!注意:样本是我电脑上直接拷贝过来的!不知道是不是可以感染正题开始!病毒名字好像叫:红蜘蛛是拼音病毒的工作模式:向spoolsv.exe注入4个DLL,这4个DLL里面我只看了两个,它们都是分工明确,W原创 2012-07-12 03:56:44 · 1205 阅读 · 1 评论 -
【原创】Windows处理驱动Path流程
昨天写了一个类似SC查询驱动服务的信息的程序,发现获取到的路径ImagePath是\??\c:\xxxxx,导致我用CreateFile什么的函数,居然失败!就比较好奇windows是怎么处理驱动服务一类的路径处理。我知道windows是在注册表中记录的启动服务信息,直接用注册表打开查看如下:<img title="名称: reg.JPG查看次数: 311文件大小: 58.7 KB原创 2012-07-12 03:54:53 · 1164 阅读 · 0 评论 -
不能说的秘密之RtlAdjustPrivilege
前言:今天逆向一个非常实用的函数RtlAdjustPrivliege这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。先来看看这个函数的定义(Winehq给出):引用: NTSTATUS RtlAdjustPrivilege ( ULONG Privilege,原创 2012-07-12 03:51:38 · 1512 阅读 · 0 评论 -
【原创】第一章:1.1、寻找main函数入口
逆向的第一步是什么?这要问你学习C语言的第一步是什么,很自然的,逆向的第一步当然也是大名鼎鼎“HelloWorld!”了。但是也不要因此就误认为这一节会很简单,如果你是第一次接触逆向的话,那么这一节还是有些难度的。 好的,让我们先写一个世界上最出名的程序:int _tmain(int argc, _TCHAR* argv[]){ printf("Hello原创 2012-07-12 03:48:43 · 841 阅读 · 0 评论 -
【原创】以虚御虚-用虚拟机调试vt程式
Intel vt技术十分诱人,但是如何调试vt程式却是让人头疼,让钱包心痛的问题,在走了各种弯路后,终于摸索出一套简单易懂又省钱的vt调试方法。如果你有比我更好的方法请第一个告诉我哟!!!准备工作:首先你需要安装以下程式:1. vmware(版本6.0-7.1)2. ida(不一定用得到)3. windbg(也不一定用得到)4. 自行编译一份带vt的bochs(版本2.原创 2012-07-12 03:41:10 · 2008 阅读 · 0 评论 -
【原创】键盘布局0day漏洞分析
最近调了instruder发的0day漏洞:http://www.exploit-db.com/exploits/18140/把调试分析的情况写在这里。水平有限,让大家见笑了, 欢迎批评指正。dump文件的分析结果如下:EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx"FAULTING_IP: win32k!ReadLay原创 2012-07-12 03:38:03 · 676 阅读 · 0 评论 -
【原创】虚拟机检测技术剖析
前言在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物原创 2012-07-12 03:23:32 · 973 阅读 · 0 评论 -
【原创】Win 7下定位kernel32.dll基址及shellcode编写
为了使shellcode在多种操作系统平台下都可以正常运行,就不得不动态的定位kernel32.dll的基地址。而被广泛使用的一种方法是通过TEB/PEB结构获取kernel32.dll基地址,我个人第一次接触是通过绿盟月刊的一篇文章“通过TEB/PEB枚举当前进程空间中用户模块列表”方才知道这种被众多编程人员使用的方法。至于这个方法的最原始出处该文作者也未提及。只得知29A杂志也有大量使用该技术转载 2012-07-12 03:20:17 · 1337 阅读 · 0 评论 -
自己定义Object Type对抗Object Hook
莫灰灰版主说“Object hook 自己定义Process Type和Thread Type才是王道。 ”今天咱就来这个。Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object,Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体转载 2012-07-12 02:37:47 · 1740 阅读 · 0 评论 -
获取内核ntoskrnl.exe基地址的几种常见办法
如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块。例子如:h原创 2012-07-12 02:22:48 · 1647 阅读 · 0 评论