- 博客(8)
- 收藏
- 关注
RSS订阅转载 CsrssWalker
<br /> <br />学习了一下古老的CsrssWalker,写点笔记~~<br />在Csrss.exe中,保存着所有Win32子系统进程的进程信息,这些信息以链表的形式保存。<br />正常情况下,每一个新创建的进程都会通知Csrss.exe,Csrss.exe接收这些信息然后保存起来,所以遍历这个链表就可以得到所有Win32子系统进程的信息。首先就是找链表头了,链表头为CsrssRootProcess,在CSRSRV.DLL导出的函数中有对CsrssRootProcess的操作,因此可以通过CSR
2011-01-20 15:50:00
1034
转载 枚举PspCidTable利用API
<br />看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。<br />NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)<br />
2011-01-19 10:32:00
1700
1
转载 win7对象头那些事儿
<br />http://www.debugman.com/discussion/5239/%E5%8E%9F%E5%88%9Bwin7%E5%8F%AF%E5%8F%98%E5%AF%B9%E8%B1%A1%E5%A4%B4%E7%BB%93%E6%9E%84%E4%B9%8Binfomask%E8%A7%A3%E6%9E%90/<br /> 对Windows对象管理有一定了解的人都知道,在固定对象头(OBJECT_HEADER)前面是一块可变区域,称为可变对象头,它所包含的结构内容并不固定。在Win7之
2011-01-18 20:09:00
1961
原创 对象目录相关的
<br />kd> !object /driver/pci<br />Object: 82b9bf38 Type: (82ba33b0) Driver<br /> ObjectHeader: 82b9bf20 (old version)<br /> HandleCount: 0 PointerCount: 81<br /> Directory Object: e1013880 Name: PCI<br />kd> dt _OBJECT_HEADER 82b9bf38-0x18 <br
2011-01-13 16:29:00
829
原创 IceSword&Rootkit Unhooker驱动简析
IceSword版本:1.20cn 修订号:061022 <br />----------------------------------------------------<br /><br />0. 进程 <br /> (略) <br /><br />1. 端口 <br /> IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP,在输出缓冲区中将返回端口/IP/状态/PID的结构数组(DS也是这么搞的,只不过没关联
2011-01-11 17:34:00
954
1
转载 IceSword&Rootkit Unhooker驱动简析
IceSword版本:1.20cn 修订号:061022 <br />----------------------------------------------------<br /><br />0. 进程 <br /> (略) <br /><br />1. 端口 <br /> IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP,在输出缓冲区中将返回端口/IP/状态/PID的结构数组(DS也是这么搞的,只不过没关联
2011-01-11 17:34:00
924
转载 遍历线程调度链表辅助检测进程
<br />以前就有了,只是还是自己实现了一下,当做复习吧,大侠飘过。进程的隐藏一直是木马程序设计者不断探求的重要技术,目前Rootkit使用的主要的进程隐藏技术有:通过hook内核API来来隐藏,通过从进程链表上摘除自身来隐藏。这样对于进程普通的API列举将不会得到真实的数据,为了获取可信进程信息,就要要采用其他的方法。<br />众所周知,windows执行的基本单位是线程,而不是进程,所以才有从进程链表上摘除自身的进程隐藏方法,这是虽然从进程链表上摘除了自身,但不会影响操作系统的调度,所以不影响程序运
2011-01-11 17:25:00
2326
转载 rku逆向分析 膜拜XueTr的linxer大牛
这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免,高手请飘过,希望对菜鸟学习有点帮助.<br /><br />1.SSDT检测<br /><br />这个功能有三个IoControlCode与之对应,他们分别是22000fh(拷贝KeServiceDescriptorTable)
2011-01-11 17:21:00
6645
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人