Windows驱动开发
Windows驱动开发实践
沧海一浮萍_
这个作者很懒,什么都没留下…
展开
-
游戏防盗号--“水与火”的概述
游戏防盗号 反外挂 游戏保护原创 2023-06-25 13:45:46 · 83 阅读 · 0 评论 -
常用工具函数记录---(Kernel) PID-HANDLE-EPROCESS-PATH 转换
在内核中根据进程的pid、句柄、eprocess等进行相互获取转换原创 2023-06-19 15:48:56 · 80 阅读 · 0 评论 -
Windows动态沙箱实现--进程回调监控
下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调:进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调。原创 2023-06-19 11:10:30 · 283 阅读 · 0 评论 -
Windows动态沙箱实现--目标讨论
由于工作的需要,在平常经常会遇到这么一个情景“有一个软件,运行过程中不知道进行了什么网络连接、下载释放了什么文件,加载了什么驱动与dll、向哪个进程注入了什么shellcode、读取了哪个进程的什么内存、随后又远程启动了哪些最终干活的线程,导致了广告、图标、盗号等现象的出现”。2.通过WFP网络引擎捕获“进程-线程-DNS解析/目标IP清单” + “进程-线程-HTTP-GET/POST完整路径” + “进程-线程-TCP/UDP-本机IP:PORT/远端IP:PORT”;原创 2023-06-16 19:36:47 · 232 阅读 · 1 评论