Windows内核
文章平均质量分 72
「已注销」
本人
展开
-
几个有用内核函数封装(进程、注册表路径)
/*引自 http://www.tdcqjslt.com/read.php?tid-297-fpage-8.html ,未试之!*///依据EPROCESS得到进程全路径extern VOID GetFullPathByEprocess( ULONG eprocess,PCHAR ProcessImageName );//得到当前调用函数的进程信息extern VOID GetCurre转载 2014-02-20 16:51:19 · 726 阅读 · 0 评论 -
突破HIPS的防御思路之duplicate physical memory
众所周知,WINDOWS 2000/XP/2003 SP0系统上,提供了一个\Device\PhysicalMemory的Section对象,可以直接操作物理内存对象。直接操作此对象映射的物理内存,可以操作RING0内存,达到无驱进入RING0的目的。这已是很多年前就被用烂了的技术了,大部分驱动防火墙、绝大部分HIPS软件、AntiVirus软件等都对此进行了防御。不过,老树也能开新花,我转载 2014-02-20 15:21:59 · 586 阅读 · 0 评论 -
WIN7 RC 系统服务函数变更
以下涵盖了今天大约用了2个小时分析的 Windows 7 RC内核NT*函数的变动,全部来自对WIN7 RC的内核的反汇编,没有太深入分析,包含了一些我觉得有一些意思或者影响的变动、增加的功能和函数等这里的变动和新增,指的是相对于WRK,即WIN2003 内核的变动,因此有些很多变动在VISTA中就已经有了(1).NtCreateFile / NtOpenFile: 以下函数将改走转载 2014-02-20 17:28:47 · 878 阅读 · 0 评论 -
查询注册表键默认值
HANDLE hNameKey = NULL; OBJECT_ATTRIBUTES attrName = {0}; RtlInitUnicodeString(&strUserName,wszUsersCodes); InitializeObjectAttributes(&attrName,&strUserName,OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,N原创 2014-04-09 10:56:51 · 3078 阅读 · 0 评论 -
虚拟机调试设置
WindowsXP:multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /debug /debugport=com1 /baudrate=115200Win7:bcdedit /debug onbcdedit /dbg原创 2014-12-01 22:24:55 · 979 阅读 · 0 评论 -
DbgPrint 参数
符号格式说明符类型%c, %lcANSI字符char%C, %wc宽字符wchar_t%d, %i十进制有符号整数int%D十进制__int64__int64%L十六进制的LARGE_INTEGERLARGE_INTEGER原创 2015-01-07 09:42:59 · 1014 阅读 · 0 评论 -
枚举符号链接
#include "stdafx.h"#include #include #include // 定义函数返回值typedef ULONG NTSTATUS;// 宽字节字符串结构定义typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer;}转载 2014-02-21 14:21:49 · 1141 阅读 · 0 评论 -
内核态拦截用户模式代码注入
前段时间领导要求实现拦截恶意软件的代码注入(包括dll注入和代码Patch),需要兼容从Windows XP到Windows 8.1的所有PC版本和服务器版本操作系统,需要兼容杀毒软件。当时拿到这个需求非常的头痛,因为需要拦截所有进程对其他进程的注入,而我们的软件本来就是安全软件,如果我再把代码注入到所有进程中去的话很有可能这个操作就被杀毒软件定性为恶意行为,而如果在内核中hook某些内核函数原创 2014-11-24 21:16:01 · 1620 阅读 · 0 评论