- 博客(2)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 通过对象名(ObjectName)匹配,确定所属的进程
大概流程:首先通过ZwQuerySystemInformation(SystemHandleInformation,*,*)获取句柄信息,然后根据句柄调用ZwQueryObject(*,ObjectNameInformation,*)获取对象名信息,最后匹配确定目标。示例是确定“\\Windows\\ApiPort"所属的进程。需要注意的是用有的句柄调用ZwQueryObject会返回ST...
2019-08-30 17:49:00
941
原创 Turla中的rootkit_fdisk.sys分析(一)
(果然分析不下去了,这个样本涉及的内容太广,我得去补充补充知识再来接着分析了)最近发现这个模块比较有趣,还是个x64上的,正好可以练习一下x64的汇编,写下来有个更好的理解。由于个人能力有限,这个过程可能会持续几个月,或者更长,不知道能不能弄完。下面通过一些汇编片段来学习它的编程思路及技巧。仅供参考,如有错误欢迎指出。1,获取系统信息,函数原型:ULONG64 GetSystemI...
2019-08-02 17:30:49
396
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人