- 博客(49)
- 资源 (10)
- 收藏
- 关注
RSS订阅转载 hook ZwQueryDirectoryFile实现文件隐藏
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWORD * PDWORD;typedef unsigned lon
2013-03-29 09:00:57
1020
转载 TP 游戏保护驱动调试视频教程
DXF TP 驱动保护的KiAttackProcess的处理下载地址:http://115.com/file/c28xxeu6 DXF TP驱动保护的NtOpenProces-NtOpenThread的处理下载地址:http://115.com/file/c28xxa5s DXF TP驱动保护的SSDT-HOOK--处理 下载地址:http://115.com/file
2013-03-29 09:00:19
2487
转载 再写手工打造可执行程序
三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直到三年后的今天我终于完成了它。现在把它分享给大家,希望大家批评指正。 我们这里将不依赖任何编译器,仅仅使用一个十六进制编辑器逐个字节的手工编写一个可执行程序。以这种方式讲解PE结构,通过这个过程读者可以学习PE结构中的
2013-03-29 08:59:46
1046
转载 Hook Shadow SSDT
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。这里主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse
2013-03-28 17:08:25
996
转载 驱动监控进程的创建
这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它
2013-03-28 17:04:41
733
转载 shadow ssdt学习笔记(二)
三。如何hook似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说1下几个偶遇到的小问题1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效解决办法:1。在driverdispatch中hokkdriverdispatc
2013-03-28 17:02:15
877
转载 shadow ssdt学习笔记(一)
。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code typedef struct _SYSTEM_SERVICE_TABLE { PNTPROC ServiceTable; // ar
2013-03-28 17:01:03
619
转载 完整的驱动感染.code.编译通过
完整的驱动感染.code.编译通过/* * Module: InfectDriver.c * * Author : 老Y (源自kanxue,不过老Y放的code不完整,需要自己补充) * Fixer : sudami [sudami@163.com] * Time : 08/05/28 * * Comment: * * 半年前一大牛在kanxue进行“
2013-03-28 16:55:47
539
转载 驱动感染技术扫盲(C描述)
驱动感染技术扫盲(C描述) Writer By 老Y上周的上周的....周末有位同学提到过驱动感染问题,而刚好周末也没有地方可去,所以就有了这篇文章的出现.既然是扫盲版,那肯定是没有什么高深的东西了,只是一些奇淫技巧,高手请自动跳过。好了,回归正题,很多年前(其实也就4, 5年,拌一下老人,呵呵)玩Ring3下PE感染的时候就用过相关的东西,那么我们来想想,一个标准的PE感染要解决哪
2013-03-28 16:50:04
700
转载 国庆PE总复习(七)完结篇
今天是国庆长假的最后一天,对看雪的几位朋友的承诺顿就在今天对现了,这是我做人原格问题,说实话要想对现一个承诺,真要要做很我,付出才会有回报,是这我一直相信的道理,虽然前几天感冒了,但为了承诺还是一边用手巾擦鼻涕,一边写着文章,总算是写完了,不管是好是坏,总算是带着一些朋友把PE的相关知识又重新温习了一遍,技术含量肯定没有玩命大哥的高,不过自己也一直在向牛人们学习,希望有一天,也能向他们那样吧!!
2013-03-28 16:30:36
734
转载 国庆PE总复习(六)
前面有一个朋友给我留言说要搞个链接,好的,等我把第七篇文章写完之后,会在最后一篇文章的最后把前面的六篇文章的地址都链接上去,也样第一方便了大家,也同时方便了自己阅读学习,给人方便,就是给自己方便!!参考文献《Win32汇编语言程序设计》第二版前面的五篇文章,所讲的都是对PE文件的结构进行了分析,以及对PE工具的编写进行了介绍,但在实际的应用中还未有涉及到很多方面的内容,其实学好PE在很
2013-03-28 16:28:49
586
转载 【原创】国庆PE总复习(五)
昨天给大家把《加密与解密》第三版上的PE工具源代码给大家分析了一下,感觉用VC去写PE工具还是不能很好的休现PE的文件内部结构,可能是封装了一些函数的吧,上一篇文章主是为那些没有学过Win32汇编的朋友们准备的,下面我开始重注讲解用Win32汇编进行PE工具的编程,你绝对会对PE文件工具有一个全新的认识,因为用汇编去写PE工具更能体现PE文件的内部组成结构,这是我个人的观点,不代表所有人!!如
2013-03-28 16:27:18
963
转载 【原创】国庆PE总复习(四)
昨天感冒了,今天鼻子也不是很舒服,不过不想失约,承诺了就一定要做下去,七篇文章一定会在国庆结束前全部献上,不管评论是好与坏,至少我懂得做为男人既已承诺,就一定要现!!前面几篇文章中我已经对PE文件的结构作了一个比较详细的讲解,如果大家还有不清楚的,请参考相关资料,谢谢,下面我开始讲解PE文件编程方面的知识~~这样理论结合实际,我想大家会有一个更深切的理解!首先我想对《加密与解密
2013-03-28 16:24:41
546
转载 【原创】国庆PE总复习(三)
首先向大家表示道歉,昨天因为有朋友自远方来,玩到了晚上十二点才回来,写完文章一看表都已经五点了,可能让有些等着学习的朋友们等久了,呵呵,今天还好,又有时间和大家一起共同学习了,希望在国庆七天的长假里,朋友们都能我和一起对PE文件有一个更加深切的理解!!上一篇给大家讲到了输入表,输入表真的很重要,在很多方面都有应用,如免杀,壳的编写,病毒方面输入表都很重要,因此我作为单独的一篇给大家讲解了一
2013-03-28 16:22:10
736
转载 【原创】国庆PE总复习(二)
上一篇文章主要给大家介绍了一下PE文件的各个结构的数据结构,以及了解PE结构中的几个重要概念,下面我重点给大家讲解区块表中的四个非常重要的区块:输入表,输出表,重定位表,资源,我会一个一个详解给大家讲解的,请跟随我的进度慢慢消化学习!!如果你对PE中的这四个区块都很了解,请跳过PE总复习二,谢谢~~以免浪费您保贵的时间!输入表可执行文件使用来自于其他DLL的代码或数据时,称为输入。当P
2013-03-28 16:20:59
884
转载 国庆PE总复习(1-7)合集
本来打算国庆去上海观看世博会最后精彩去的,因为有些事要做,所以就没去了,还是在家呆着吧,给大家重温一下PE文件的知识,国庆七天每天都会更新,我会从最基础的PE理论再结合编程给大家详细讲解,参考书籍主要两本:看雪《加密与解密》第三版,老罗《Windows下32位汇编程序设计》第二版,如果大家看了我的PE文件详解能给大家一点点小的帮助,我想国庆的努力也没白费,呵呵~~其实论坛上,这样的文章也讲了不少,
2013-03-28 16:18:58
925
转载 无进程无启动项无硬盘文件运行程序的研究
小弟新人,初来乍到看雪,看到无数大牛们的文章作品,总觉得自己也该写点什么,可惜手生技疏,怕是会让大牛们贻笑大方,于是迟迟不敢写出来。今天总算是鼓足勇气献丑,第一次发帖,牛牛们多多关照。 从前给人做东西的时候,无意中发现了网上byshell后门这玩意,号称“无进程无DLL无硬盘文件无启动项 ”,于是就试着山寨一个,以下个人愚见。 实现这种程序无非需要以下几种条件:
2013-03-28 16:03:49
840
转载 监控系统加载模块-猥琐流
代码:#include #include "nt_help.h"DRIVER_INITIALIZE DriverEntry;typedef struct _OBJECT_TYPE_INITIALIZER { USHORT Length; BOOLEAN UseDefaultObject; BOOLEAN CaseInsensitive;#if WINVER>
2013-03-28 15:43:23
854
转载 挺好的话
生活,是路上的风景重要,还是目的地重要? 疯狂的去达到目地,有人会说:功利心太重; 留恋于沿途的风景,有人会说:太没上进心。 其实,别的人看法,一点都不重要。重要的是,疯狂的赶路,却没达到目的地,而且还错过了沿途的风景。 。如果你不再年轻的话,还是把时间多留给生活吧。你偶尔抬起头,看一下晴朗的天空时,你会发现,真美!
2013-03-28 15:42:28
590
转载 过驱动保护第一套视频(63课)
63.白名单与校验的对抗.7z62.过DebugProt.7z61.过梦幻西游NECHECK保护.7z60.过龙之谷GPK游戏保护.7z59.真正过TP让CE可以附扫描.7z58.DNF驱动保护思路代码.7z55.IDT中断描述符表.7z54.驱动InLine_HOOK实例.7z53.绕过所有用户层HOOK.7z52.真正勾住Shadow_SSDT.7z51
2013-03-28 11:04:34
4462
转载 SSDT Hook的妙用-对抗ring0 inline hook
1,SSDT SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章): typedef struct _SYSTEM_SERVICE_TABLE { PVOID ServiceTableBase; //这个指向系统服务函数地址表 PULONG
2013-03-28 10:58:55
707
转载 城里城外看SSDT
城里城外看SSDT 2007年7月5日作于京师海淀 2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……在这篇文章里,李马首度从ring3(应用层)的围城跨出,一跃而投身于ring0(内核层)这一更广阔的天地,为你展
2013-03-28 09:45:16
564
转载 自己动手,制作inline hook扫描工具
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具,更有甚者检测到这类工具启动立马给我来个蓝脸或者重启这也太霸道了,这到底成了谁的电脑了?于
2013-03-28 09:07:24
3044
转载 另类挂钩 RING3数据包监视
另类挂钩 RING3数据包监视前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析本来想HOOK ws2_32!WSASend/Send/WSARecv/Recv,后来发现网上的方法都非常挫,尽是不稳定的HEADER INLINE和修改内存~用SPI之类的,又很麻烦于是自己写了一种方式实现,非常简单,隐蔽,而且在RING3下应该算是最底层的数据包拦截点了~
2013-03-27 17:18:32
617
转载 封包和拆包
封包和拆包(经典收藏)对于基于TCP开发的通讯程序,有个很重要的问题需要解决,就是封包和拆包.自从我从事网络通讯编程工作以来(大概有三年的时间了),我一直在思索和改进封包和拆包的方法.下面就针对这个问题谈谈我的想法,抛砖引玉.若有不对,不妥之处,恳求大家指正.在此先谢过大家了.一.为什么基于TCP的通讯程序需要进行封包和拆包.TCP是个"流"协议,所谓流,就是没有界限的一串数据.大家可
2013-03-26 14:51:34
756
转载 封包截取技术解析
封包技术 通过对动作模拟技术的介绍,我们对游戏外挂有了一定程度上的认识,也学会了使用动作模拟技术来实现简单的动作模拟型游戏外挂的制作。这种动作模拟型游戏外挂有一定的局限性,它仅仅只能解决使用计算机代替人力完成那么有规律、繁琐而无聊的游戏动作。但是,随着网络游戏的盛行和复杂度的增加,很多游戏要求将客户端动作信息及时反馈回服务器,通过服务器对这些动作信息进行有效认证后,再向客户端发送下一步游
2013-03-25 17:06:48
2137
转载 以原始套接字的方式 截获流经本机网卡的IP数据包
内容提要 从事网络安全的<a class="channel_keyl 内容提要 从事网络安全的技术人员和相当一部分准黑客(指那些使用现成的黑客软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(sniffer)感到陌生,网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析
2013-03-23 10:38:52
1529
转载 如何使用WINSOCK Api hook拦截修改socket数据包
在Windows网络数据通讯层,通过封包技术在客户端挡截游戏服务器发送来的游戏控制数 据包,分析数据包并修改数据包;同时还可以按照游戏数据包结构创建数据包,再模拟客户端发送给游戏服务器,这个过程其实就是一个封包的过程。封包的技术是实现第二类游戏外挂的最核心的技术。封包技术涉及的知识很广泛,实现方法也很多,如挡截 WinSock 、挡截 API 函数、挡截消息、 VxD 驱动程序等。在此我们
2013-03-23 09:53:04
9055
转载 HOOK SOCKET
分析完了数据,我们开始写程序了 首先我们创建一个MFC的解决方案,然后在解决方案中添加一个dll新项目 名称大家可以自拟 Dll中我们写hook函数,MFC作为交互窗体 首先我们开始写dll 经过分析游戏所需协议,发现我们需要hook的只是socket中TCP的send和recv两个函数
2013-03-23 09:17:07
2413
转载 Windows之内存映射文件
=====================Windows之内存映射文件=====================几乎每个应用程序都要处理文件,但要处理好并不容易。应用程序到底是先应该打开文件、再读取文件,最后关闭文件呢,还是应该先打开文件,再用一个缓存算法来读取和写入文件的不同部分?Windows为我们提供了一个两全其美的解决方案---内存映射文件。内存映射文件允许开发人员预订一块地址
2013-03-21 23:42:19
656
转载 Dll和另外的exe之间的通信(使用内存映射文件)
Dll如果需要使用到其他的exe中产生的数据可以通过使用内存映射文件来实现,下面附上代码,不过是两个exe之间的例子,原理一样。exe1:负责写入内存 #include #include #include int main(void){ HANDLE hFileMap; HANDLE hEvent; LPBYTE pcMap; hEvent = Crea
2013-03-21 23:38:23
1900
转载 the value of esp was not properly saved
问题说明: 主模块在调用Dll的导出函数时会保存返回地址在堆栈中(ESP+xxx)。函数调用返回时,会弹栈取得返回地址(ESP-xxx),从而返回到主模块。 vaule of ESP was not properly saved across a function call. 上面出现的错误是系统提示主模块调用前堆栈的指针(ESP),与调用导出函数后的指针不符。
2013-03-19 20:20:22
820
转载 模拟WSockExpert,使用APIHOOK
不知道大家用过WSockExpert没有, 它可以用来截获指定进程网络数据的传输.前面我还以为它是通过实时远程注入DLL来更改IAT. 不过后来发现在程序一运行时,它就已经将DLL插入所有进程了,这个跟冰哥写的那个模拟SOCKCAP的程序很相似.似乎是将DLL注入所有进程, 不过再想一下, 如果是这样的话,那么后来启动的程序应该不会被注入DLL(除非用定时^_^,这样就太麻烦了),
2013-03-19 15:50:29
1587
转载 [过游戏保护]之第一讲[背包、怪物、技能地面物品、任务、队友、装备、宠物、周围玩家]
相信很多成天在网上混的朋友都有想自己做WG乃至自己卖自己做的WG的这类想法各类网络培训班钱都交的不少到头来才发现特么的啥也米学到...这里是C++版块技术交流区 特别基础的东东俺就不说了 直接进入主题吧 呵呵 一、找背包数组(结构)方法:1、通过搜索背包物品的数量,比如说,背包里面有个红药,有100个,那么,我们就用CE搜索100. 然后吃掉一个,改变他的数量
2013-03-19 15:33:14
9116
1
转载 DLL注入2
一天学硬件,一天学软件。哈~正所谓【软硬兼施】啊。今天轮到学软件了,由于之前对DLL木马有一些研究,大部分木马都是通过远程线程注入的方式实现无进程执行。早就想学 这种技术了,无奈当时自身的编程技术还不到那个境界,现在试试。。。 花了一下午的时间, 查询相关资料,看视频教程,大概给弄懂怎么回事了。就是将木马的实现功能全部写在一个DLL中(DLL 也是可执行文件,但是不可以直接执行
2013-03-19 15:31:15
809
转载 DLL注入
DLL注入的一般步骤为:(1)取得注入进程ID dwRemoteProcessId;(2)取得注入DLL的完全路径,并将其转换为宽字符模式pszLibFileName;(3)利用Windows API OpenProcess打开宿主进程,应该开启下列选项: a.PROCESS_CREATE_THREAD:允许在宿主进程中创建线程; b
2013-03-19 13:30:40
498
转载 小甲鱼PE详解之资源(PE详解11)
小甲鱼PE详解之资源(PE详解11)最近一直在安排第一届鱼C 学习班的事情,忙活了好一阵子,真是对不住大家,还大家久等了,这里要跟大家说声不好意思 ^_^今天我们来谈谈资源部分,资源部分可以说是 PE 文件所有结构中,最复杂的一部分,也最让人揪心。很多朋友都想通过自己动手修改一些游戏的资源、工具的界面、或者一些软件的图标等,都知道要改资源部分。但纯粹一进去就像走进了迷宫
2013-03-09 12:33:04
687
转载 小甲鱼PE详解之区块描述、对齐值以及RVA详解(PE详解06)
各种区块的描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。每一个区块都需要有一个截然不同的名字,这个名字主要是用来表达区块的用途。例如有一个区块叫.rdata
2013-03-01 12:42:48
386
转载 小甲鱼PE详解之基址重定位详解(PE详解10)
今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的系哦”。其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做,主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。在这里再次强调一下,只要是windows操作程序,其就要遵循PE格式,再说人家看雪的网址就是www.pediy.com。简单的讲是可以,但是怕
2013-03-01 12:39:44
567
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人