zhuhuibeishadiao

pediy:我特别好奇某些易语言开发者电脑里到底有多少种病毒?-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com52ghai:Cisool驱动读写，内核远程call，兼容Win7.Win10.Win11系统，无痕驱动，分享给大家 - 开源交流 挂海论坛 (52ghai.com)52ghai本人无账号.这种“邀请码”式的论坛,打开就关闭,52pojie还是白嫖来的....

1.LLVM安装:Download LLVM releases(用于编译混淆后替换bin) 设置下环境变量: version见lib\clang下的文件夹名set LLVMInstallDir=C:\Program Files\LLVM set LLVMToolsVersion=12.0.0 rem LLVMToolsVersion = name of the last subfolder in the path C:\Program Files\L...

1.下载Nasm安装 解压到目录 系统环境添加NASM_PREFIX C:
asm\2.下载Asl,解压到c:\Asl目录 没有就创建3.下载python3.7 or later4.创建一个工作目录比如c:\efi\test5.clone edk2git clone --recursive https://github.com/tianocore/edk26.clone edk2-baseTools-win32git clone --recursive http.

首先枚举驱动的方法很多,这里不做过多介绍,此文仅简单说明x64系统,x86结构和偏移需重新收集.在17134版本中,MI_SYSTEM_IMAGE_STATE结构新增了一个成员 即以下的最后一个成员ImageTree,此树保存驱动LdrSection题外话:MI_SYSTEM_IMAGE_STATE是_MI_SYSTEM_INFORMATION的子结构,_MI_SYSTEM_INFORMATION是nt!MiStatent!_MI_SYSTEM_IMAGE_STATE +0x000 Fi

使用timeSetEvent#include #include #include #pragma comment(lib, "Winmm.lib")void WINAPI OnTimeFunc(UINT wTimerID, UINT msg,DWORD dwUser,DWORD dwl,DWORD dw2){ printf("OnTimeFunc
");} in

SSDT当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4);TableRVA = KiSeviceTable - 内核真实加载地址 ;ImageBase = 0x140000000;(理想加载地址)ImageKiSeviceTable = ImageBase + TableRVA;LoadDLLBase = LoadLi

#include "stdio.h"#include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer;} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO

原本也是转的，但我没找到原作者标 题: 反调试技巧总结-原理和实现-----转作 者: lcx4时 间: 2016-4-7链 接: http://www.lcx4.com/?post=512008.8.7  shellwolf一、 前言    前段学习反调试和vc，写了antidebug-tester，经常会收到message希望交流

前言: 在CVE-2017-5715漏洞曝出之后,微软做了一系列的措施来缓解,并在win10 1809(17763)之后默认启用了Retpoline,pe格式也发生了部分改变(win8.1已改变,后续只是增加).启用RetPoline之后,winload.exe在加载ntos和hal.dll时,会替换一些指令.DVRT: 全名Dynamic Value Relocation Table,此表记录需要替换的指令的指针,当然,系统也可以选择不进行替换,因为这些镜像在编译时,会留出一些...

如果查看堆栈(正常的堆栈回溯)所有线程的入口都是RtlUserThreadStart,真正的流程如下.包括远程线程 这里着重说明应用层，内核层不做具体描述.CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpIn...

写这篇文章的原因是看到一些代码判断不准确,导致效果很奇怪很奇怪,当时我哭晕在WC.见过奇奇怪怪的判断,很无语.于是有了这篇文章.createfile可以新建文件和打开文件这个不多说了在文件过滤系统中IRP_MJ_CREATE怎么判断是open还是create无论是minifilter还是sfilter,判断基本都相同,只不过sfilter在完成例程,min...

just a ppt针对windows注册表，文件，进程，DLL/SYS，窗口的隐藏方法总结部分代码在ppt中提供了下载地址链接: https://pan.baidu.com/s/1OlmpSxukgAIqEoQYTuDsTQ 提取码: 5fu5...

题外话:窗口隐藏:效果就是spy++ 彗星小助手发现不了窗口,但是窗口确实存在.(副作用:不透明窗口,鼠标不穿透窗口白屏或无反应,进程退出蓝屏(如果恢复了就不会))一大波黑产在路上了???怎么隐藏呢?跟断链一致,前一个的下一个等于当前的下一个,后一个的前一个等于当前的前一个.已经说的很明白了!另外在17763及以上,在你内核修改是木有效果的哦.具体可以自己研究一下应用层的tagWn...

一个类似ms11-011的漏洞,不过需要pass uac。不是CVE-2019-0708可以实现任意地址读写。termdd.sys(support kb4499175)也就是支持CVE-2019-0708后的补丁.不怎么关注漏洞方面,几年前无意得到的洞.当时用来pass x64驱动签名检验.快拦在硬盘了,不知道属不属于0day,查过相关资料，没有找到，也没有CVE编号....

最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后，过一会驱动必蓝屏于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等，基本大的变量都申请了内存，看dump说是irql过高，又看了代码，我习惯都是用非分页内存，所以不存在访问内存的问题，并且代码中都是在psl级别执行的，基本都排除了，异常点是ObpQu...

1.物理Section Map到用户空间 解析物理地址操作内存2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff无视抹权限 原理见ObpPreInterceptHandleCreateObpPreInterceptHandleCreate(PVOID Object, unsigned _...

从blackbone中抄出来的一个小功能第二个驱动 不能加壳 并且必须关闭GS检查。VS-C/C++-代码生成-安全检查-禁用安全检查第二个驱动原是一个无驱动对象的，代码中加入了老V的创建驱动对象代码,给第二个驱动了一个“虚无”的驱动对象https://github.com/ZhuHuiBeiShaDiao/DriverMaperps:请无视DriverEntry中蛋疼的获取路...

设置CreateStatus为STATUS_ACCESS_DISABLED_NO_SAFER_UI_BY_POLICYhttps://blog.csdn.net/a907763895/article/details/52863952

https://github.com/ZhuHuiBeiShaDiao/PathModification支持 x64下（win7 ~ win10 all） 对x64进程的路径修改另外一种实现方法就是 傀儡进程