老裴

我想和这个世界谈谈

搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys

1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用:NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow想也...

2009-01-21 10:58:00

阅读数:2742

评论数:2

分析黑客之门

·flong 发表于 2006-11-24 0:16:00 最近对后门产生了很浓厚的兴趣,上网与各位高手讨论的时候,有人提到了“黑客之门”很厉害,也算是推出来的比较成功的一个后门,于是上网下载了一个研究研究,顺便也学习学习其中的方法与技巧。不敢独享,分享于此,同时希望高手们指教。    “黑客之门...

2007-04-11 16:53:00

阅读数:1369

评论数:0

如何在IDA中找到MFC程序的消息处理函数

比起用Win32SDK写的程序,要分析MFC应用程序要麻烦不少。在前者,只要找到注册窗口类的地方就知道其WinProc的位置。那里是程序的控制中心,只要顺藤摸瓜就可以找到你感兴趣的地方。对于用MFC写的程序,这一切都变得复杂起来了。这时,所有的消息都...

2006-03-01 11:20:00

阅读数:1847

评论数:0

加壳技术-DRx解码阻止调试

加壳技术-DRx解码阻止调试这些代码是从我逆向出hying外壳原码得来,有些描述不准确,凑合看吧;//////////////////////////////////;//drx 解码        Call    Push_drx_handlerDrx_handler    Proc NearP...

2005-12-11 14:35:00

阅读数:891

评论数:0

在NT系列操作系统里让自己“消失a在NT系列操作系统里让自己“消失”

=====[ 1. 内容 ]============================================ 1. 内容 2. 介绍 3. 文件   3.1 NtQueryDirectoryFile   3.2 NtVdmControl 4. 进程 5. 注册表   5.1 NtEnume...

2005-12-11 14:31:00

阅读数:711

评论数:0

He4Hook 使用指南

                                            He4Hook 使用指南linux2linux  写于 2005/7/25[介绍]He4Hook是一个老牌的 Russian Rootkit,但是由于一些新的rootkit出现,再加上其在功能上的单一--文件控...

2005-11-29 23:21:00

阅读数:2304

评论数:0

对付冰刀的一点点方法

总引篇::rT决定写这篇可以教坏小孩子的文章的原因是rootkit实在写的郁闷了,出来散散心。c%©CVC电脑病毒论坛 -- 中国毒客的快乐天地  2(进程篇::Xm`MPb实话说,我觉得你都drv了,还他妈什么进程,干脆都ring0不好吗?对于icesword不使用从可爱的swap链上找_人我表...

2005-11-29 23:10:00

阅读数:870

评论数:0

程序自删除方法大总结

程序自删除方法大总结 icyfoxlovelace/冰狐浪子   程序的自删除早已经不是什么新鲜的话题了,对于各位大虾来说是更是比较容易的事情,但想想自己刚学时遇到的种种错误,我觉得有必要把自己所知道的各种方法总结一下,希望对新手的学习能够有所帮助。程序的自删除广泛用于反安装程序最后的自删除(环保...

2005-11-29 22:49:00

阅读数:1268

评论数:0

常用反跟踪技术

作者:smokingroom日期:2005-04-12站点:www.programmerlife.com邮箱:smokingroom@sina.com前言:反跟踪调试技术对于Delphi程序员来说,似乎比较陌生。因为许多的技术,直接用Delphi语言似乎比较难以完成,而对汇编来说,则比较容易完成,...

2005-07-31 02:41:00

阅读数:1210

评论数:0

*** PEid插件——Generic OEP Finder 原理分析 ***

***    PEid插件——Generic OEP Finder 原理分析    ***   PEid的这个小插件用了很久了,一直觉得功能不错,准确率也挺高的,自己在写壳的过程中也曾尝试避开其检测,但一直没有成功,于是抽了些时间看看它的实现原理,这才恍然大悟。   下面是这个插件的一级输出函数:...

2005-07-31 02:40:00

阅读数:1600

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭