自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

落笔飞花笑百生的博客

windows内核逆向,内核编程,安卓编程

  • 博客(43)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 win 10 64 14393遍历进程VAD

typedef struct _SEGMENT{ /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]  [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]  [+0x008] TotalNumberOfPtes : 0xa[Typ

2017-04-01 08:24:31 3166 1

原创 VT调试器 X64

想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助Tesla.Angela有人吗?cvcvxkviphacksxppKalong 以及国外友人asamy以上排名不分先后这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体做个修改 才可以正常运行代码部分:这

2016-12-30 12:33:47 7770

原创 几种枚举窗口的方法(包括猥琐的你懂得)

老生常谈的枚举那些就 不说了说一些 很少有人处理的POINT pt;GetCursorPos(&pt);  hd=WindowFromPhysicalPoint(pt);    if (hd!=NULL)    {      GetWindowTextA(hd, text, 260);      printf("text :%s \n",text);    

2016-05-26 12:39:58 6374

原创 WIN7X64自定义硬断

我只是 截了 我代码中的 关键片段~至于 详细的 你们自己想VOID T_KiRestoreDebugRegisterState(){        PEPROCESS Process=NULL;        PETHREAD Thread=NULL;        PPROCESS_List PlIST = NULL;;        PTHREAD_dr_List

2016-05-23 17:31:33 1734

原创 这次windows更新补丁的锅

在逆几个内核函数的时候~原本在虚拟机内跑的飞起的代码 真机直接GG我自然百思不得其解,我虚拟机和真机 都是用的同一个镜像 还是从微软官方下载的纯净7601 sp1系统 虚拟机内正常 真机就GG 我就对着 IDA和虚拟机看!eprocess结构正常没变动 ethread结构从成员cid上面就多了不知干啥的八字节。。 于是我就卸载了  真机上的 100多个补丁 这可也能是部分客户 机器蓝屏的原因吧

2016-05-09 17:59:55 665

原创 简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64

内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿              CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存             反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程

2016-05-09 13:22:56 15370

原创 X64 HOOK IDT

kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64))   +0x000 OffsetLow        : 0x44c0   +0x002 Selector         : 0x10   +0x004 IstIndex         : 0y000   +0x004 Reserved0        : 0y0

2015-11-06 23:40:50 3931 1

原创 逆WIN7X64内核调试之NTCreateDebugObject

NTSTATUS __fastcall proxyNtCreateDebugObject(        OUT PHANDLE DebugObjectHandle,        IN ACCESS_MASK DesiredAccess,        IN POBJECT_ATTRIBUTES ObjectAttributes,        IN ULONG Flags 

2015-09-28 17:01:06 3280 1

原创 逆WIN7X64内核调试体系之NtDebugActiveProcess

NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){        PMY_OBJECT_TYPE object;        PMY_OBJECT_TYPE debugobject;        OBJECT_HANDLE_INFORMATION

2015-09-27 16:55:46 3944

原创 做X64 shadow SSDT HOOK引擎那些事儿~~

废话不多少 我做HOOK引擎遇到的事儿~~~先看一下代码 ,里面有详细地址.text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o.text:FFFFF97FFF072744                                 

2015-09-23 22:59:13 2431

原创 普及X64 ssdtshadow inline HOOK

序:我只想说~~再不发帖老大就 不搭理我了~~~原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o:各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~于是 开始自己搞:mad::mad:

2015-09-22 02:20:54 3052

原创 一字节anti创建进程线程等回调

很久没有发帖子了~~~  上次一个哥们 一字节anti callbacks 其实还有更多地方哦~~~但是这样 还是不够的  这次 一字节 anti 创建进程线程回调~~~pspexitthread:loc_140355BB8:xor     r8d, r8dxor     edx, edxmov     rcx, rdical

2015-09-14 18:50:44 1287

原创 【原创】游戏csol2 X64反直接附加运行游戏

0088B000 >  56              push    esi0088B001    50              push    eax basethaedinitThunk0088B002    53              push    ebx0088B003    E8 01000000     call    0088B0090088B008    

2015-09-11 02:00:16 1014

原创 【原创】X64 枚举 内核 符号~~~~

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(IN ULONG SystemInformationClass,OUT PVOID SystemInformation,IN ULONG Length,OUT PULONG ReturnLength);typedef unsigned long DWORD;

2015-09-04 16:23:00 2715

原创 【原创】获取指定index的 OBJECTTYPE

ULONG64 onlythisfile_SreachFunctionAddress(ULONG64 uAddress, UCHAR *Signature, ULONG addopcodelength, ULONG addopcodedatasize){ULONG64 index = 0;UCHAR *p = 0;ULONG64 uRetAddress = 0;UL

2015-08-27 14:10:33 567

原创 【原创】remove some info from pspcidtable WIN7X64

不废话 直接防码 补充代码有网了:【分享】x64 antidebug 不触发PG http://bbs.pediy.com/showthread.php?p=1385028#post1385028有个BUG  如果 移出的目标有线程退出  那么 我的 系统线程就挂了   目测是枚举函数的 问题 这个   我就 不解决了   退出不蓝屏因为 有 了新的 解决办法  这个 就扔掉了

2015-08-27 09:03:48 1263

原创 x64 antidebug 不触发PG 补充代码

因为搬家了  还有 板砖很忙 没办法 工头都懂得的~~~~先说antiantidebug都知道 32位的驱动保护  不用VT说白了就是 HOOK过来 HOOK过去  比的是谁的 钩子深  谁的 钩子更多~~~~然而 64位呢 很多保护 例如TP/HP/HS 基本就是驱动几个callbacks 应用层 几个钩子 反调试  模拟一场等等    我的 PASS方法呢 例如TP钩子 KIuse

2015-08-05 12:31:10 3144

原创 寻找0XCC软件断点

配合反汇编引擎效果出奇;Here is what I see in hacker defense testing 0xCC software breakpoints;I write it with FASM assemblerinclude 'win32ax.inc'use32entry startsection '.text' code readable exec

2015-04-27 16:13:46 969

原创 通用WIN32平台的shellcode

LoadLibraryExA_Digest    equ    0xc0d83287LoadLibraryA_Digest        equ    0x0C917432RegCreateKeyA_Digest       equ 0x2B367128RegSetValueExA_Digest   equ 0xD8C0FEAARegCloseKey_Digest equ

2015-04-27 16:13:35 1089

原创 病毒重定位技术1

include 'win32ax.inc'use32.codestart:call $+5ca:pop eaxlea eax,[eax+sdata-ca].end startsection '.data' readable writeablesdata db "fuckyoursister!",0

2015-04-27 16:13:08 717

原创 2014过360栈回溯

360为了XX黑加白出的栈回溯技术当然现在还会杀DLL 不过 断链动态解密一下应该还是没有问题的博客新开,先扔出来一点儿.486p.model flat,stdcalloption casemap:noneassume fs:nothinginclude windows.incinclude user32.incincludelib us

2015-04-27 16:12:43 652

原创 自己前几天用MASM写的一个远控

最先是在看雪发的  新开空间我也没啥东西 只能拿这个凑数了;作者:落笔飞花笑百生;日期:2014/12/20;用处:练手;写一个程序虽然很烂但是确实能学到很多,用汇编写程序能逼迫自己去学习以前高级语言中容易忽略的东西虽然还是不够。;但是至少脱离了只能用别人封装好的库来写程序的恶性循环;这个程序也没有了写下去的意思,该解决的都解决了我实在想不出来再写他具体能得到什么

2015-04-27 16:11:07 1510 1

原创 2014简单绕过某60父进程查杀

;落笔飞花笑百生;2014.12.9;过360父进程一个弱弱的方法;过360启动项.386.model flat,stdcalloption casemap:noneinclude windows.incincludelib kernel32.libinclude kernel32.incinclude user32.incinclude

2015-04-27 16:10:43 1741 1

原创 标准的一份栈回溯代码

include 'win32ax.inc'use32entry startstart:invoke getmodule,"ntdll.dll"invoke getproc,eax,"RtlWalkFrameChain"mov dword [walk],eaxinvoke walk,fuck,100,0mov dword[stackcount],eaxmo

2015-04-27 16:09:37 1071

原创 这个dll_CopycatAndHide 的masm源代码

;2015/1/7;作用:简单的断去链表的方法 实用  也可以达到隐藏的效果 成功返回1失败返回0 ;失败原因:例如内存分配不成功等等 一般是在过程中出错;esp+8传入 DLL的句柄dll_CopycatAndHide proc   dllhandle:dword LOCAL SizeOfImage,lpBackMem,oldprotect,AddressOfEntr

2015-04-27 16:08:59 597

原创 HOOK api ret address

include 'win32ax.inc'use32entry startsection '.text' code readable executablestart:invoke loadlib,dllinvoke  getfunc,eax,   fucmov dword [funcaddress],eaxinvoke VirtualProtect,dwor

2015-04-27 16:08:55 502

原创 去年学习汇编的时候写的内存LOADer

.386.model flat,stdcalloption casemap:noneinclude windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.libcheckcodesum proto n:dword,z:dwordw

2015-04-27 16:07:58 750 1

原创 第一个安卓JNI例子

C++的RTTI技术分析 编译器是vc2013@VfTable包含ClassVfTable,类的虚表指针vfptr指向@VfTable+4的位置,即vfptr=@VfTable+4=ClassVfTable我是为了统一一下才这样表示的.在类虚表位置-4的地方,也就是@VfTable-4.指向CompleteObjectLocator结构.现在对每一个结构进行简单的解释.

2015-04-27 16:05:48 443

转载 C++的CTTI技术分析

C++的RTTI技术分析 编译器是vc2013@VfTable包含ClassVfTable,类的虚表指针vfptr指向@VfTable+4的位置,即vfptr=@VfTable+4=ClassVfTable我是为了统一一下才这样表示的.在类虚表位置-4的地方,也就是@VfTable-4.指向CompleteObjectLocator结构.现在对每一个结构进行简单的解释.

2015-04-27 16:05:01 666

原创 第一次接触vc编程,顺便写一个过300英雄od附加的检测的小例子

VC很多年前我曾下载又删除过无数遍,最后接触了java  又接触了asm 当然 写程序 完全这两个充当主力无奈现在VC是主流 我下载了vs2010版  写了一个控制台的 例子 od加载 垃圾代码有很多 我也不知道如何去调整。。汇编写惯了= =LPVOID hookaddr=(LPVOID)0x628500F4  ;LPVOID hookaddr2=(LPVOID)0x628

2015-04-27 16:04:08 1148

原创 获取SSDT服务表数据

#include  typedef struct _KSYSTEM_SERVICE_TABLE {   PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址    PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用

2015-04-27 16:01:54 595

原创 VS2010中 配置WDK的方法其实很简单= =

属性管理器->右键项目名字|win32新建项目属性表然后 展开这个项目就有一个.props为后缀的文件把下面的内容修改好 也就是路径改成你的WDK安装地址就行 然后 覆盖过去 重启就可以编译了          D:\wdk\bin\x86;$(ExecutablePath)     

2015-04-27 16:00:53 2724 1

原创 SSDTHOOK

#include "ntddk.h"void PageProtectOff();void PageProtectOn();#pragma pack(1)typedef struct ServiceDescriptorEntry {unsigned int *ServiceTableBase;unsigned int *ServiceCounterTableBase;

2015-04-27 15:59:36 493

转载 控制台中使用settimer

#include "stdafx.h"#include"windows.h"#include"stdio.h"void CALLBACK TimerProc(HWND hWnd,UINT nMsg,UINT nTimerid,DWORD dwTime) {   printf("%s","abc");     }void main() {     SetT

2015-04-27 15:56:52 675

原创 驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载

#include "ntddk.h"//#include "Ntifs.h"//PVOIDNTSTATUS PsSetLoadImageNotifyRoutine( PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);NTSTATUS PsRemoveLoadImageNotifyRoutine(__in PLOAD_IMAG

2015-04-27 15:55:38 1671

原创 微软的ImageLoad

PLOADED_IMAGE ImageLoad( _In_ PSTR DllName, _In_ PSTR DllPath ); 第一个就是DLL名字第二个是DLL目录 Minimum supported client Windows XP [desktop apps only] Minimum supported server Windows Serv

2015-04-27 15:55:04 573

转载 驱动 进程回调中修改导入表插入DLL (只做了一点儿修正不算原创)

//虽然现在对很多程序的注入都一点儿问题 ,不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这里回调函数

2015-04-27 15:51:58 867

原创 VEH +硬件断点 HOOK

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "stdafx.h"#include "windows.h"#include #include #include #pragma comment(lib, "d3d9.lib")#pragma comment (lib,"d3dx9.lib")#pragma comment

2015-04-27 15:51:05 7559

原创 拦截驱动加载

#include "ntddk.h"#include typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE headerWORD   e_magic;                     // Magic numberWORD   e_cblp;                      // Bytes on last

2015-04-27 15:50:40 2144

原创 IDT HOOK

#include "ntddk.h"#include "windef.h"#pragma pack(2)typedef struct _IDTR{USHORT numberofidt;ULONG highaddress;}IDTR ,*PIDTR;#pragma pack()typedef struct _KTRAP_FRAME{UL

2015-04-27 15:48:35 816

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除