内核
M-先生
这个作者很懒,什么都没留下…
展开
-
驱动监控进程的创建
这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它转载 2013-03-28 17:04:41 · 743 阅读 · 0 评论 -
城里城外看SSDT
引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词转载 2014-05-04 22:52:38 · 1099 阅读 · 0 评论 -
获取SSDT表函数名
ULONG GetSSDTName(){ KdBreakPoint(); if (KeGetCurrentIrql() > PASSIVE_LEVEL) { return STATUS_UNSUCCESSFUL; } //设置NTDLL路径 UNICODE_STRING uniFileName; RtlInitUnicodeString(&uniFileName, L"\\Sy转载 2014-05-15 16:17:56 · 3881 阅读 · 0 评论 -
c++驱动编译出错解决方法
错误一:LNK2019:unresolved external symbol _DriverEntry.....................qe原创 2014-07-30 08:40:10 · 961 阅读 · 0 评论 -
重载内核全程分析笔记
标 题: 【原创】重载内核全程分析笔记作 者: Speeday时 间: 2013-08-20,20:19:46链 接: http://bbs.pediy.com/showthread.php?t=177555还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面转载 2014-09-23 11:40:15 · 730 阅读 · 0 评论 -
模仿腾讯实现内核进程的调试端口DebugPort 清零
模仿腾讯实现内核进程的调试端口DebugPort 清零最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。在公司xp sp3的系统上测试了成功,OD下断点失效或报错。--------------------------------------------------------转载 2014-09-24 16:42:44 · 1204 阅读 · 0 评论 -
模仿腾讯实现内核进程的调试端口DebugPort 清零
模仿腾讯实现内核进程的调试端口DebugPort 清零最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。在公司xp sp3的系统上测试了成功,OD下断点失效或报错。--------------------------------------------------------转载 2014-09-24 16:40:14 · 2682 阅读 · 0 评论 -
关于Page Fault的一些整理
Pages Input/sec 是为了解决硬错误页,从硬盘上读取的页数,而Page Reads/sec 是为了解决硬错误,从硬盘读取的次数。如果 Page Reads/Sec 比率持续保持为 5,表示可能内存不足。 Page Faults/sec 是指处理器中“页面错误”的数量。当一个进程引用不在主存储器“工作集” 中的虚拟内存页时,就会发生页面错误。如果该页面在 Standby 列表上转载 2014-09-17 15:34:31 · 1111 阅读 · 0 评论 -
过TesSafe反WinDbg双机调试
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。正文:在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。先开ARK工具看看游戏干了什么。从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSend转载 2014-09-17 11:25:58 · 1849 阅读 · 0 评论 -
WRK中全部访问DebugPort的函数总汇
KiDispatchException //1处 NtQueryInformationProcess //1处 PspCreateProcess //1处 PsGetProcessDebugPort //1处 PsIsProcessBeingDebugged //1处 NtTerminateProce转载 2014-09-17 11:27:43 · 1094 阅读 · 0 评论 -
windows 内核函数前缀解析
1.对于ring3 api主要由 kernel32.dll,user32.dll等dll导出函数,2.对于内核函数,由ntoskrnl.exe导出。可以直接用IDA加载,在export栏中察看(可使用搜索栏搜索函数) 注意:文档化:在export显示的函数,说明函数已导出,在WDK文档中,可查询到的函数(联网+本地),为文档化,可直接调用。转载 2014-11-28 17:37:34 · 985 阅读 · 0 评论 -
PE感染型病毒代码 大部分有注释
//学习电脑安全,必须要了解 病毒//Remark:PE感染型病毒代码 pe为可执行文件 来自> //欢迎提出疑问和质疑#pragma once#include #include #include using namespace std;//#pragma data_seg(".mydat")//程序优化 不显示UI//#pragma code_seg(".转载 2014-12-01 08:31:59 · 3501 阅读 · 0 评论 -
在NT系列操作系统里让自己“消失”]
===================[ 在NT系列操作系统里让自己“消失”]================== SoBeIt 作者:Holy_Father 版本:1.2 english 日期:05.08.2003转载 2014-12-01 08:25:22 · 3568 阅读 · 0 评论 -
幽默人讲解R3枚举目标进程加载模块的全过程
作 者: jokersky,这位哥们的描述就是个白痴都能看懂代码,佩服他的口才,特转载之。希望大家听完故事后发表一下感想哦。[/相信观众朋友通过Google或者Baidu连接到这里的时候已经很清楚自己需要什么啦,我也就不在说明枚举目标进程加载模块的用处啦。【开发环境】Windows6.0.1+Microsoft Visual 9.0【开发语言】C++【功能实现方法】通过ZwQu转载 2013-04-23 09:43:59 · 759 阅读 · 0 评论 -
shadow ssdt学习笔记(一)
。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code typedef struct _SYSTEM_SERVICE_TABLE { PNTPROC ServiceTable; // ar转载 2013-03-28 17:01:03 · 621 阅读 · 0 评论 -
TP 游戏保护驱动调试视频教程
DXF TP 驱动保护的KiAttackProcess的处理下载地址:http://115.com/file/c28xxeu6 DXF TP驱动保护的NtOpenProces-NtOpenThread的处理下载地址:http://115.com/file/c28xxa5s DXF TP驱动保护的SSDT-HOOK--处理 下载地址:http://115.com/file转载 2013-03-29 09:00:19 · 2494 阅读 · 0 评论 -
hook ZwQueryDirectoryFile实现文件隐藏
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWORD * PDWORD;typedef unsigned lon转载 2013-03-29 09:00:57 · 1028 阅读 · 0 评论 -
过TP保护的最佳方法(最新整理)
见邮箱转载 2013-03-30 15:34:34 · 4462 阅读 · 9 评论 -
自己动手,制作inline hook扫描工具
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具,更有甚者检测到这类工具启动立马给我来个蓝脸或者重启这也太霸道了,这到底成了谁的电脑了?于转载 2013-03-28 09:07:24 · 3057 阅读 · 0 评论 -
城里城外看SSDT
城里城外看SSDT 2007年7月5日作于京师海淀 2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……在这篇文章里,李马首度从ring3(应用层)的围城跨出,一跃而投身于ring0(内核层)这一更广阔的天地,为你展转载 2013-03-28 09:45:16 · 567 阅读 · 0 评论 -
过驱动保护第一套视频(63课)
63.白名单与校验的对抗.7z62.过DebugProt.7z61.过梦幻西游NECHECK保护.7z60.过龙之谷GPK游戏保护.7z59.真正过TP让CE可以附扫描.7z58.DNF驱动保护思路代码.7z55.IDT中断描述符表.7z54.驱动InLine_HOOK实例.7z53.绕过所有用户层HOOK.7z52.真正勾住Shadow_SSDT.7z51转载 2013-03-28 11:04:34 · 4472 阅读 · 0 评论 -
驱动感染技术扫盲(C描述)
驱动感染技术扫盲(C描述) Writer By 老Y上周的上周的....周末有位同学提到过驱动感染问题,而刚好周末也没有地方可去,所以就有了这篇文章的出现.既然是扫盲版,那肯定是没有什么高深的东西了,只是一些奇淫技巧,高手请自动跳过。好了,回归正题,很多年前(其实也就4, 5年,拌一下老人,呵呵)玩Ring3下PE感染的时候就用过相关的东西,那么我们来想想,一个标准的PE感染要解决哪转载 2013-03-28 16:50:04 · 704 阅读 · 0 评论 -
完整的驱动感染.code.编译通过
完整的驱动感染.code.编译通过/* * Module: InfectDriver.c * * Author : 老Y (源自kanxue,不过老Y放的code不完整,需要自己补充) * Fixer : sudami [sudami@163.com] * Time : 08/05/28 * * Comment: * * 半年前一大牛在kanxue进行“转载 2013-03-28 16:55:47 · 543 阅读 · 0 评论 -
shadow ssdt学习笔记(二)
三。如何hook似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说1下几个偶遇到的小问题1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效解决办法:1。在driverdispatch中hokkdriverdispatc转载 2013-03-28 17:02:15 · 882 阅读 · 0 评论 -
Hook Shadow SSDT
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。这里主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse转载 2013-03-28 17:08:25 · 1007 阅读 · 0 评论 -
SSDT Hook的妙用-对抗ring0 inline hook
1,SSDT SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章): typedef struct _SYSTEM_SERVICE_TABLE { PVOID ServiceTableBase; //这个指向系统服务函数地址表 PULONG转载 2013-03-28 10:58:55 · 711 阅读 · 0 评论 -
监控系统加载模块-猥琐流
代码:#include #include "nt_help.h"DRIVER_INITIALIZE DriverEntry;typedef struct _OBJECT_TYPE_INITIALIZER { USHORT Length; BOOLEAN UseDefaultObject; BOOLEAN CaseInsensitive;#if WINVER>转载 2013-03-28 15:43:23 · 861 阅读 · 0 评论 -
WinNT & Win2K下实现进程的完全隐藏
-----------转自:http://antghazi.yeah.netWinNT & Win2K下实现进程的完全隐藏 面对众多的计算机高手,考虑许久,终于还是决定出来献丑一下,文章内尽量使用最简洁易懂的词汇及例子来介绍,希望能够对一些初学与进阶者有所帮助。 关于进程的隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏方法,西祠的高手sh转载 2014-12-01 08:28:52 · 612 阅读 · 0 评论