自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(12)
  • 资源 (18)
  • 收藏
  • 关注

原创 驱动层hook系统函数的时,如何屏蔽掉只读属性?

对于Intel 80486或以上的CPU,CR0的位16是写保护(Write Proctect)标志。当设置该标志时,处理器会禁止超级用户程序(例如特权级0的程序)向只读页面执行写操作;当该位复位时则反之。因此,在写前把设置该位就可以climov eax, cr0and eax, -65537             ; fffeffffHmov cr0, eax

2013-08-17 16:07:07 1134

转载 Rootkit之SSDT hook(通过CR0)

SSDT即System Service Dispath Table,它是一个表,这个表中有内核调用的函数地址。KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是typedef struct ServiceDescriptorTable {PVOID ServiceTableBase;PVOID

2013-08-17 15:00:57 1087

原创 #define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这

这个跟KeServiceDescriptorTable的结构有关下面是KeServiceDescriptorTable的结构定义KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;} K

2013-08-17 14:15:15 1853

转载 SSDT

2、系统服务调度表SSDT及SSSDT Shadow系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。SSDT:系统服务调度表(System  Service  Dispatch Table),该表可以基于系统服务编号进行索引,来定位函数内存地址。SSPT:系统服务参数表(System  Service

2013-08-17 12:31:04 3351

转载 简单HOOK SSDT实现文件防删除

http://www.rosoo.net/a/201001/8347.html

2013-08-17 12:08:49 920

转载 使用Windbg调试内核

Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx下载Install Debugging Tools for Windows 32-bit Version 2.从http:

2013-08-17 11:45:49 958

转载 Zw函数与Nt函数的分别与联系

in ring3:lkd> ? ntdll!ZwOpenProcessEvaluate expression: 2089999739 = 7c92dd7blkd> ?ntdll!NtOpenProcessEvaluate expression: 2089999739 = 7c92dd7b可以看到,在ntdll中,ZwOpenProcess和NtOpenProcess其实是同

2013-08-17 11:36:13 930

原创 SSDT

SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~

2013-08-17 10:59:56 688

原创 Rootkit之SSDT hook(通过CR0)

CR0当中有一个写保护位,是保护内存不可写属性的,为了能够写入内核,只能把它的保护给咔嚓掉了,不过……如果做完了手脚但不还原写保护属性的话,极有可能会BOSD.

2013-08-17 10:25:39 1134

原创 直接用编译器按ctrl+F5运行和双击运行结果不一样

是因为进程权限的问题,需要添加下面的代码:BOOL EnableDebugPrivilege(){HANDLE hToken;BOOL fOk=FALSE;if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken)){TOKEN_PRIVILEGES tp;tp.Privilege

2013-08-05 16:33:45 1406

原创 驱动编译的时候注意编译工程选项

右键要编译的驱动工程会看到该工程配置的有哪些工程类别,比如WXP checked WNET checked,在编译的时候要选对

2013-08-01 11:40:37 970

原创 'ddkbuild.cmd' 不是内部或外部命令,也不是可运行的程序

把DDKBUILD.bat 和 DDKBUILD.cmd 所在目录添加到path环境变量中安装DDK我的目录是:D:\WINDDK安装DDK后,去http://ddkwizard.assarbad.net/ 下载ddkwizard_setup_v1.2.0a、ddkbuild_bat.zip、ddkbuild_cmd.zip。拷贝 DDKBUILD.bat 和 DDKB

2013-08-01 11:16:40 3643

dotnetfx_cleanup_tool

解决.Net Framework 2.0 安装时出现Error 25007的错误,错误信息: Product: Microsoft .NET Framework 2.0 -- Error 25007.Error occurred while initializing fusion. Setup could not load fusion with LoadLibraryShim(). Error: The handle is invalid.

2015-07-23

error C4996

使用vs2012,遇到如下错误。 error C4996: ‘fopen': This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details.

2015-07-11

解决rdlc报错 An error occurred during local report processing

从VS2005升级到2012或者2013后,原来做的报表,如果编辑过,而且不是转换成XML而是用编辑模式的话,会报错“An error occurred during local report processing”

2015-07-07

VC 常见编译错误.pdf

USE_NATIVE_EH has an invalid value, change it to 1. error C2065: ‘_bstr_t’ : undeclared identifier error MSB8008: 指定的平台工具集(v110)未安装或无效 error C2065: “CString”: 未声明的标识符 error C2664: “ATL::CStringT<BaseType,StringTraits>::Remove”: 不能将参数 1 从“const char [2]”转换为“char”

2015-02-13

VC 常见编译错误

VC,编译错误,error C2664,error C2065,error MSB8008

2015-02-13

驱动和应用层的三种通信方式

介绍了驱动和应用层的三种通信方式,工程一个应用层exe.一个驱动,exe中没有安装驱动的代码,驱动需要手动找工具安装下,然后再运行exe

2014-03-03

CPUID,根据汇编指令cpuid获取CPU信息

根据汇编指令cpuid获取CPU信息,奔腾4以上的CPUID,intel不提供了

2014-02-27

ReloadKernel(重载内核全程分析)

重载内核内容: 1、 将内核文件加载到内存 2、 进行基址重定位 3、 重定位ssdt结构 4、 Hook KiFastCallEntry,让RING3进程调用走新内核

2014-02-25

Windows RPC入门程序

RPC入门程序,经VS2010调试通过并正常运行。源于微软官网。有修改。

2014-01-25

如何HOOK桌面窗口消息

如何HOOK桌面窗口消息. 截获桌面窗口鼠标单击事件,解析所选中的桌面 Item,并将解析后的 item 信息发送给主调程序,并将信息显示在一个窗口上面

2013-12-26

代码注入的三种方法

如何将代码注入不同的进程地址空间,然后在该进程的上下文中执行注入的代码。本文将介绍三种方法: 1、Windows 钩子 2、CreateRemoteThread 和 LoadLibrary 技术 ——进程间通信 3、CreateRemoteThread 和WriteProcessMemory 技术 ——如何用该技术子类化远程控件 ——何时使用该技术

2013-12-26

VC操作桌面图标:取消自动排列图标及取消将图标对其至网格

VC操作桌面图标:取消自动排列图标及取消将图标对其至网格、移动桌面图标位置

2013-12-02

MyCreateprocess 实现系统创建进程的过程

通过学习进程创建机制,自己实现系统创建进程的过程

2013-11-20

MyCreateprocess

通过学习进程创建机制,自己实现系统创建进程的过程

2013-11-20

利用钩子技术控制进程创建(源码)

利用钩子技术控制进程创建(源码) ,能够对想学习钩子的朋友起到帮助作用。

2013-11-19

Windows下DNS ID欺骗的原理与实现

局域网内的网络安全是一个值得大家关注的问题,往往容易发起各种欺骗攻击,这是局域网自身的属性所决定的–网络共享。本文所讲解的DNS ID欺骗是基于ARP欺骗之上的网络攻击,如果在广域网上,则比较麻烦。不过也有一些例外情况:如果IE中使用代理服务器,欺骗不能进行,因为这时客户端并不会在本地进行域名请求;如果你访问的不是网站主页,而是相关子目录的文件,这样你在自定义的网站上不会找到相关的文件,登陆以失败告终。如果你不幸被欺骗了,先禁用本地连接,然后启用本地连接就可以清除DNS缓存。

2013-11-16

NDIS+IM防火墙安装文件和源代码

本程序是一个完整的基于windows ndis中间层驱动的防火墙程序,包含了整个驱动层和客户端的代码,以及使用说明。若想研究一下ndis中间层,可以参考一下这个源码~~~

2013-07-11

MFC类库详解,中文版

MFC类库中文版,和MSDN差不多,不过就是翻译成了中文。

2008-10-29

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除