- 博客(6)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 N种内核注入DLL的思路及实现(转自http://devil209.blog.163.com/blog/static/50820980201041391645319/)
<br />内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 / DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。 <br /> 若要开发安全软件、小型工具,可借鉴其思路,Anti Rootkits时,在某些极端情况下,可使用
2010-06-04 11:07:00
787
转载 ssdt 入门
<br />SSDT入门<br /> <br /><br />下载 (22.7 KB)<br /><br />2010-5-2 11:15<br />【图System Module Dependencies】揭示了系统各模块之间的依赖关系(有所简化)<br /><br /><br /><br />从图中可以看出,所有的Win32 API调用最后都转移到了ntdll.dll,而ntdll.dll又将其转移到了ntoskrnl.exe。ntdll.dll是一个操作系统组件,它 为Native API准确地提供
2010-06-01 19:58:00
759
转载 转帖 SSDT HOOK拦截远线程的创建(下)
<br />第三部分:从进程句柄获取信息<br /> 在第二部分我们使用了一个前提:可以通过进程句柄得到PID等信息。<br /> 事实上这是可行的,这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。<br /> 炉子那篇文章里讲的很详细,这里只说下如何从进程句柄中获取信息吧,在NTDLL中有个函数可以帮助我们:Zw(Nt)QueryInformationProcess,下面是我在《The Undocumented F
2010-06-01 19:57:00
648
转载 转帖 SSDT HOOK拦截远线程的创建(上)
<br /> 在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br /> 最近在自己的毕业设计中
2010-06-01 19:55:00
944
转载 Windows下Hook API技术 inline hook
什么叫Hook API?所谓Hook就是钩子的意思,而API是指 Windows开放给程序员的编程接口,使得在用户级别下可以对操作系统进行控制,也就是一般的应用程序都需要调用API来完成某些功能, Hook API的意思就是在这些应用程序调用真正的系统API前可以先被截获,从而进行一些处理再调用真正的API来完成功能。在讲Hook API之 前先来看一下如何Hook消息,例如Hook全局键盘消
2009-04-06 17:47:00
1114
1
转载 window消息参考大全(转)
消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录中包含了消息的类型以及其他信息。例如,对于单击鼠标所产生的消息来说,这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg,它在Windows单元中是这样声明的:typeTMsg =
2009-04-06 17:44:00
358
IOCP服务器
2018-03-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人