驱动
关注
分享
扫一扫
basketwill
愿意为中国软件的发展作出一番贡献
展开
-
PGP透明加解密研究原理图
最近一直在研究PGP NetShare ,他的驱动是基于文件夹透明加解密,下面是原理图原创 2010-04-16 14:58:00 · 1353 阅读 · 0 评论 -
查看IDT的驱动
#include #include #if DBG#define dprintf DbgPrint#else#define dprintf#endif#define kprintf DbgPrint#define NT_DEVICE_NAME L"//Device//GDTDump"#define DOS_DEVICE_NAME L"//DosDevices//转载 2008-07-23 15:48:00 · 959 阅读 · 1 评论 -
一个外挂的简单分析
上周末突然有个外挂,逃过了反挂检测,竟然是全图外挂,通过IDA分析发现 一个virtualQuery函数, 于是在od中加载,算了一下该函数相对模块首地址的位置断下该函数,相对基址的偏移为0xB55E,于是断下 发现只要打勾,反复循环间隔500ms 都会走此函数,于是判断改地址是 外挂修改游戏的信息的函数 继续推测:通过windbg:来断下改地址,通原创 2011-03-22 12:07:00 · 1120 阅读 · 0 评论 -
PGP透明加解密研究-----简要技术分析
技术分析⑴.主要派遣例程IRP_MJ_CREATE例程对应的函数: CFilterEngine::DispatchCreate(DEVICE_OBJECT *device, IRP *irp)如果是自己的设备访问则直接放过if(device ==CFilterControl::s_control) { irp->IoStatus.Status原创 2010-04-21 11:03:00 · 1626 阅读 · 0 评论 -
PGP透明加解密研究------代码结构与功能
代码结构与功能文件功能说明CFilterBase.Cpp基础功能库类例如GUID函数,hash函数,获得或者设置系统信息的函数等等;CFilterCallback.cpp应用层和驱动密码交互的回调函数类例如Request()驱动请求应用层获得密码或者随机数的回调函数,原创 2010-04-16 15:22:00 · 959 阅读 · 0 评论 -
windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360 hook)
我们先看下hook kiFastCallentry 点的汇编代码: winXp: FF05 38060000 inc dword ptr [638]80542656 8BF2 mov esi, edx80542658 8B5F 0C mov ebx, dword ptr [edi+C]8054265B 33C9 xor ecx,原创 2011-10-05 12:29:28 · 2106 阅读 · 0 评论