![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
系统安全
文章平均质量分 86
HadesW_W
软件安全行业,游戏安全,病毒,反病毒,逆向,破解
展开
-
病毒分析之“驱动人生”挖矿木马分析及其清除方案
“驱动人生”挖矿木马分析及其清除方案0x00 概述自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...原创 2019-11-01 11:06:32 · 10817 阅读 · 0 评论 -
游戏安全之借刀杀人
游戏安全之借刀杀人0x0简介我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被...原创 2019-08-08 00:34:07 · 1302 阅读 · 3 评论 -
Dll注入技术之驱动注入
Dll注入技术之驱动注入0x0 技术简介实现环境系统:Windows 7 64bit工具:VS+WDK驱动注入我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。可以注入64位Dll到64位进程或注入32位Dll到32位进程。暂时没有实现跨位数。APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例...原创 2019-01-04 18:56:12 · 15799 阅读 · 5 评论 -
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)0x0病毒概况撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。撒旦病毒通过大量漏洞利用工具,扫描入侵主机。成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。0x1恶意行为1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件...原创 2018-10-31 17:08:43 · 2959 阅读 · 8 评论 -
Rookit技术之SSDT_Hook
Rookit技术之SSDT_HookRookit技术之SSDT_Hook0x0 SSDT简介0x1 测试环境0x2 达到目标0x3 主要思路0x4 关键代码0x5 测试效果0x0 SSDT简介SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...原创 2018-04-27 17:39:16 · 521 阅读 · 0 评论 -
加载驱动遍历驱动模块(使用控制码通讯)
加载驱动遍历驱动模块测试环境系统:虚拟机Windows 7 32bit工具:VS2015+Windbg等各种调试工具说明此demo只是内核编程的小小练习,只是遍历了驱动模块全路径,通过Ring3和Ring0通讯(使用比较复杂的控制码+MDL直接方式通讯),显示在了用户界面上.想要做其他功能,根据这个思路,遍历进程信息,模块信息等等都很容易做到.如果以后有机会再发其他功能的实现主要思路1.程序启动的...原创 2018-04-26 18:19:09 · 2094 阅读 · 1 评论 -
x64技术之SSDT_Hook
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...原创 2018-05-10 21:36:01 · 5587 阅读 · 5 评论 -
Windows内核重要变量
Windows内核重要变量转自http://www.cnblogs.com/xuanyuan/转载 2018-05-03 09:15:39 · 503 阅读 · 0 评论 -
驱动加载工具的实现
驱动加载工具的实现主要思路:使用OpenSCManager函数打开服务控制管理器(SCM),获得句柄.使用这个SCM句柄创建(或者打开)服务,服务运行加载驱动,服务停止卸载驱动主要函数:OpenSCManager //打开设备(服务)管理器CreateService //创建服务(或者设备,根据参数不同而不同)OpenService //打开设备或者服务.StartSer...原创 2018-04-24 19:16:34 · 2159 阅读 · 0 评论