- 博客(7)
- 收藏
- 关注
RSS订阅原创 SEH不能捕获异常
异常处理真的是个好复杂的东西,网上有不少牛文,大家参考,这里只说其中的一点,关于SHE不工作的问题及如何解决的一点思路。 这个故事是发生在内核,驱动A开始工作的很好,后来老大说改成由驱动B模拟系统加载驱动B吧。也就是自己完成PE文件映射,重定位处理,导入表处理等等。改完后唯一的问题就是,SHE不工作了。__try<img id="_6_42_Ope
2007-12-06 22:09:00
1334
原创 利用INT 2DH 反调试
取材于rootkit.com的一篇文章,因为简单就不按照原文严格翻译了。原文链接http://rootkit.com/newsread.php?newsid=669第2dh号中断处理函数是KiDebugService,执行Int 2dh指令时,进程如果没有处于被调试状态,将会抛出异常,如果在被调试状态则能够正常执行。我们可以利用这一点检测调试器的存在。;
2007-11-30 08:43:00
1527
翻译 Windows Vista 下挂钩NSI模块隐藏端口
作者:cardmagic原文链接:http://www.rootkit.com/newsread.php?newsid=735Windows Vista 的网络模块较从前发生了很大变化,从而导致很多旧的端口隐藏工具无法使用.本文将介绍一种简单的在Vista下隐藏端口的方法,希望对大家有所帮助.事实上在Vista下netstat.exe调用Iphlpapi.dll导出的Interna
2007-11-19 22:25:00
3579
原创 NT主要内核结构 windows vista
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W
2007-11-19 21:07:00
909
原创 NT主要内核结构 windows 2003
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W
2007-11-19 20:50:00
714
原创 NT主要内核结构 windows XP
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W
2007-11-19 20:38:00
675
原创 NT主要内核结构 windows 2000
虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W
2007-11-19 20:23:00
589
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人