一、Dll被压缩时的调节方法
a.OD打开宿主程序,主线程长时间Sleep
b.StringOD远程注入,(在注入之前对Dll入口处会调用的系统函数下断)这样Run起来后Dll完成解压后跑起来就会断在系统函数上,就可以正常调试了。
二、DuplicateHandle的应用
说明:句柄可以重复的对象包括控制台、文件(包括通信设备)、文件映射、事件、可等待计时器、互斥体、管道、进程、注册表项、信号机以及线程
1.文件占坑,原理是以独占的方式打开文件,再把文件句柄复制到另一个程序中去,达到本程序退出后目标文件仍被打开的目的
2.可以将本进程内的伪线程句柄转化为实句柄。
三、序列号
四、virus and worm 的定义
virus infect file and the file could spread the malicious itself.
worm could copy itself, not just by network.
trojan dosen't spread.
example (rule is:chose the most dangersous):
E-Mail-Worm + Virus + Net-Worm = Net-Worm
Trojan-Downloader + Trojan-Dropper = Trojan-Dropper ?
五、Create Process 用CREATE_SUSPENDED参数挂起进程的主线程,不知道为什么调式的时候会崩溃。
所以可以把这个参数去掉,直接让进程跑起来,然后再调式。
六、用户运行或操作历史记录
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" /va /f >nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU" /va /f >nul
七、关于设备对象和驱动对象的理解
设备对象(drevobj)相当于驱动对象(drvobj)创建的子对象,用来形成设备链,从而接受、处理数据的。设备对象挂到设备链中,接受到了被设备管理器派遣的IRP时(记得某本书上好像说,没有真正所谓的设备管理器,只是一组派遣例程,如IopfCallDriver就是将IRP派遣的。通过hook这个函数能得到很多我们想要的东西),这时设备对象的母对象--驱动对象组建的IRP派遣函数,(即DriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreate;形式的函数)将会接受IRP并处理。而设备堆栈则是每次IRP下发时辅助IRP找到相应派遣函数并存储一些可重用参数的地方
八、关于sfc_os.dll文件
Windows文件保护是个烦人的东西,我们在写小马的时候不可避免的想要干掉它。
流行的思路有以下几种:
1.远程注入Winlogon进程卸载sfc_os.dll
2.强制替换dllcache里的文件,监视弹窗,使用postmessage发送wm_close消息以关闭。
3.调用sfc_os.dll的第5号导出函数(#5)以替换文件
九、Synergy服务端锁屏后无法输入的情况,客户端restart一次就可以把控制权还给服务端
独立击键变成组合键效果,很可能是视窗键没有被释放,再按一下视窗键复原。
a.OD打开宿主程序,主线程长时间Sleep
b.StringOD远程注入,(在注入之前对Dll入口处会调用的系统函数下断)这样Run起来后Dll完成解压后跑起来就会断在系统函数上,就可以正常调试了。
二、DuplicateHandle的应用
说明:句柄可以重复的对象包括控制台、文件(包括通信设备)、文件映射、事件、可等待计时器、互斥体、管道、进程、注册表项、信号机以及线程
1.文件占坑,原理是以独占的方式打开文件,再把文件句柄复制到另一个程序中去,达到本程序退出后目标文件仍被打开的目的
2.可以将本进程内的伪线程句柄转化为实句柄。
三、序列号
四、virus and worm 的定义
virus infect file and the file could spread the malicious itself.
worm could copy itself, not just by network.
trojan dosen't spread.
example (rule is:chose the most dangersous):
E-Mail-Worm + Virus + Net-Worm = Net-Worm
Trojan-Downloader + Trojan-Dropper = Trojan-Dropper ?
五、Create Process 用CREATE_SUSPENDED参数挂起进程的主线程,不知道为什么调式的时候会崩溃。
所以可以把这个参数去掉,直接让进程跑起来,然后再调式。
六、用户运行或操作历史记录
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" /va /f >nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU" /va /f >nul
七、关于设备对象和驱动对象的理解
设备对象(drevobj)相当于驱动对象(drvobj)创建的子对象,用来形成设备链,从而接受、处理数据的。设备对象挂到设备链中,接受到了被设备管理器派遣的IRP时(记得某本书上好像说,没有真正所谓的设备管理器,只是一组派遣例程,如IopfCallDriver就是将IRP派遣的。通过hook这个函数能得到很多我们想要的东西),这时设备对象的母对象--驱动对象组建的IRP派遣函数,(即DriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreate;形式的函数)将会接受IRP并处理。而设备堆栈则是每次IRP下发时辅助IRP找到相应派遣函数并存储一些可重用参数的地方
八、关于sfc_os.dll文件
Windows文件保护是个烦人的东西,我们在写小马的时候不可避免的想要干掉它。
流行的思路有以下几种:
1.远程注入Winlogon进程卸载sfc_os.dll
2.强制替换dllcache里的文件,监视弹窗,使用postmessage发送wm_close消息以关闭。
3.调用sfc_os.dll的第5号导出函数(#5)以替换文件
九、Synergy服务端锁屏后无法输入的情况,客户端restart一次就可以把控制权还给服务端
独立击键变成组合键效果,很可能是视窗键没有被释放,再按一下视窗键复原。
扫一扫
94
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
