逆向
文章平均质量分 69
qq_18942885
这个作者很懒,什么都没留下…
展开
-
驱动遍历句柄表
驱动遍历句柄表附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句柄表因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作#include "ntddk.h"typedef struct _EX_PUSH_LOCK { // // LOCK bit is set for both exclusive and shared acq原创 2015-04-27 15:46:31 · 2117 阅读 · 0 评论 -
寻找0XCC软件断点
配合反汇编引擎效果出奇;Here is what I see in hacker defense testing 0xCC software breakpoints;I write it with FASM assemblerinclude 'win32ax.inc'use32entry startsection '.text' code readable exec原创 2015-04-27 16:13:46 · 979 阅读 · 0 评论 -
NTCreateDEbugOBject for win8..1
这个代码可以在WIN8.1上面跑的 测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了 IDA太坑NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle原创 2015-04-27 15:41:41 · 1404 阅读 · 0 评论 -
【原创】获取指定index的 OBJECTTYPE
ULONG64 onlythisfile_SreachFunctionAddress(ULONG64 uAddress, UCHAR *Signature, ULONG addopcodelength, ULONG addopcodedatasize){ULONG64 index = 0;UCHAR *p = 0;ULONG64 uRetAddress = 0;UL原创 2015-08-27 14:10:33 · 588 阅读 · 0 评论 -
【原创】游戏csol2 X64反直接附加运行游戏
0088B000 > 56 push esi0088B001 50 push eax basethaedinitThunk0088B002 53 push ebx0088B003 E8 01000000 call 0088B0090088B008原创 2015-09-11 02:00:16 · 1027 阅读 · 0 评论 -
逆WIN7X64内核调试体系之NtDebugActiveProcess
NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){ PMY_OBJECT_TYPE object; PMY_OBJECT_TYPE debugobject; OBJECT_HANDLE_INFORMATION原创 2015-09-27 16:55:46 · 3959 阅读 · 0 评论 -
逆WIN7X64内核调试之NTCreateDebugObject
NTSTATUS __fastcall proxyNtCreateDebugObject( OUT PHANDLE DebugObjectHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN ULONG Flags原创 2015-09-28 17:01:06 · 3314 阅读 · 1 评论 -
一字节anti创建进程线程等回调
很久没有发帖子了~~~ 上次一个哥们 一字节anti callbacks 其实还有更多地方哦~~~但是这样 还是不够的 这次 一字节 anti 创建进程线程回调~~~pspexitthread:loc_140355BB8:xor r8d, r8dxor edx, edxmov rcx, rdical原创 2015-09-14 18:50:44 · 1294 阅读 · 0 评论 -
做X64 shadow SSDT HOOK引擎那些事儿~~
废话不多少 我做HOOK引擎遇到的事儿~~~先看一下代码 ,里面有详细地址.text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near ; DATA XREF: .text:FFFFF97FFF0D20E0o.text:FFFFF97FFF072744原创 2015-09-23 22:59:13 · 2464 阅读 · 0 评论 -
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿 CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存 反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程原创 2016-05-09 13:22:56 · 15433 阅读 · 0 评论 -
通用WIN32平台的shellcode
LoadLibraryExA_Digest equ 0xc0d83287LoadLibraryA_Digest equ 0x0C917432RegCreateKeyA_Digest equ 0x2B367128RegSetValueExA_Digest equ 0xD8C0FEAARegCloseKey_Digest equ原创 2015-04-27 16:13:35 · 1117 阅读 · 0 评论 -
2014过360栈回溯
360为了XX黑加白出的栈回溯技术当然现在还会杀DLL 不过 断链动态解密一下应该还是没有问题的博客新开,先扔出来一点儿.486p.model flat,stdcalloption casemap:noneassume fs:nothinginclude windows.incinclude user32.incincludelib us原创 2015-04-27 16:12:43 · 659 阅读 · 0 评论 -
IDT HOOK
#include "ntddk.h"#include "windef.h"#pragma pack(2)typedef struct _IDTR{USHORT numberofidt;ULONG highaddress;}IDTR ,*PIDTR;#pragma pack()typedef struct _KTRAP_FRAME{UL原创 2015-04-27 15:48:35 · 824 阅读 · 0 评论 -
VEH +硬件断点 HOOK
// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "stdafx.h"#include "windows.h"#include #include #include #pragma comment(lib, "d3d9.lib")#pragma comment (lib,"d3dx9.lib")#pragma comment原创 2015-04-27 15:51:05 · 7617 阅读 · 0 评论 -
2014简单绕过某60父进程查杀
;落笔飞花笑百生;2014.12.9;过360父进程一个弱弱的方法;过360启动项.386.model flat,stdcalloption casemap:noneinclude windows.incincludelib kernel32.libinclude kernel32.incinclude user32.incinclude原创 2015-04-27 16:10:43 · 1800 阅读 · 1 评论 -
博客搬家到CSDN
博客搬家到CSDN因为百度云关门了原创 2015-04-27 15:40:50 · 422 阅读 · 0 评论 -
驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载
#include "ntddk.h"//#include "Ntifs.h"//PVOIDNTSTATUS PsSetLoadImageNotifyRoutine( PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);NTSTATUS PsRemoveLoadImageNotifyRoutine(__in PLOAD_IMAG原创 2015-04-27 15:55:38 · 1698 阅读 · 0 评论 -
SSDTHOOK
#include "ntddk.h"void PageProtectOff();void PageProtectOn();#pragma pack(1)typedef struct ServiceDescriptorEntry {unsigned int *ServiceTableBase;unsigned int *ServiceCounterTableBase;原创 2015-04-27 15:59:36 · 519 阅读 · 0 评论 -
获取SSDT服务表数据
#include typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // SSDT (System Service Dispatch Table)的基地址 PULONG ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用原创 2015-04-27 16:01:54 · 619 阅读 · 0 评论 -
第一次接触vc编程,顺便写一个过300英雄od附加的检测的小例子
VC很多年前我曾下载又删除过无数遍,最后接触了java 又接触了asm 当然 写程序 完全这两个充当主力无奈现在VC是主流 我下载了vs2010版 写了一个控制台的 例子 od加载 垃圾代码有很多 我也不知道如何去调整。。汇编写惯了= =LPVOID hookaddr=(LPVOID)0x628500F4 ;LPVOID hookaddr2=(LPVOID)0x628原创 2015-04-27 16:04:08 · 1175 阅读 · 0 评论 -
去年学习汇编的时候写的内存LOADer
.386.model flat,stdcalloption casemap:noneinclude windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.libcheckcodesum proto n:dword,z:dwordw原创 2015-04-27 16:07:58 · 797 阅读 · 1 评论 -
win 10 64 14393遍历进程VAD
typedef struct _SEGMENT{ /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT] [+0x000] ControlArea : 0xffffd18b3276d370[Type:_CONTROL_AREA *] [+0x008] TotalNumberOfPtes : 0xa[Typ原创 2017-04-01 08:24:31 · 3220 阅读 · 1 评论