chenhui530-优快云博客

原创博客搬家了

博客搬家了，新的地址是：http://blog.sina.com.cn/u/1566896177

2012-07-22 13:49:43 1876

原创通过USB VID和PID卸载USB设备

以前也发过一几篇关于卸载USB设备的文章，其实原理都是一样都是使用同一个API "CM_Request_Device_Eject_ExW"来完成卸载工作，上一篇是通过遍历USB接点实现，这篇文章直接通过USB 的VID和PID获取其对应的DevInst来完成卸载工作。本篇文章通过使用了WMI技术来实现了很多关键点的功能。查了很多资料想了很多方法也没找到从一个USB盘符获取该USB设备的V

2009-12-23 15:58:00 10803 8

原创优快云博客需要变革

相信关注我的朋友都知道，我已经很久很久没再发过一篇文章了，就算只是贴代码的工作我也没再做过，我彻底失望了。本来还想花点时间好好整理博客，再发些c和驱动相关的文章，但是越来越发现csdn对于技术博客不看重，所以等待csdn认真对待技术博客的时候再来写。现在不做任何评论，相信大家能明白，希望关注我博客的人体谅。如果有什么技术需要讨论之类的可以加我qq 285305530 请附加相关信息。

2009-09-10 14:56:00 1624 1

原创 VB 驱动加载类(直接使用NtLoadDriver加载方式)

加载驱动需要有加载驱动的权限使用前先加载“SE_LOAD_DRIVER_PRIVILEGE”权限 Option ExplicitPrivate Const STATUS_IMAGE_ALREADY_LOADED = Private Const HKEY_CLASSES_ROOT = Private Const HKEY_CURRENT_USER = Priv

2008-11-21 22:16:00 5874 4

原创 VB 驱动控制类

Option ExplicitPrivate Const STANDARD_RIGHTS_REQUIRED = Private Const SC_MANAGER_CONNECT = Private Const SC_MANAGER_CREATE_SERVICE = Private Const SC_MANAGER_ENUMERATE_SERVICE = Private

2008-11-16 13:24:00 3133 2

原创使用ZwQueryVirtualMemory枚举进程模块

Public Sub PrintProcessModules(ByVal dwProcessId As Long) Dim ntStatus As Long Dim objCid As CLIENT_ID Dim objOa As OBJECT_ATTRIBUTES Dim hProcess As Long Dim dwVirtualAddr As Long

2008-11-15 23:57:00 5966 1

原创 VB 远程注入/卸载/自我删除(RtlCreateUserThread)

最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西，可以创建远程线程，也可以用来写多线程程序，但是在VB里好像还是不是很稳定只能用API。这篇文章给大家一种不同于(CreateRemoteThread)但是原理是一样(都是通过ZwCreateThread创建线程)创建远程线程，实现注入和卸载功能。对于一些编写外挂，或者对Shel

2008-10-21 21:13:00 7489 7

原创在Ring0下获取进程路径

程序演示了在Ring0下通过FILE_OBJECT获取文件路径（至于怎么从EPROCESS获取FILE_OPBJECT就不要再问我了） BOOLEAN GetProcessImageName(PFILE_OBJECT FileObject,LPSTR ProcessImageName){ NTSTATUS ntStatus=STATUS_BUFFER_OVERFLOW; ULONG uS

2008-10-10 21:29:00 3718 2

此程序是一个专业的病毒诊断分析程序。08-09-26修正版：修正了某些情况下会漏点一些进程没监控的情况 08-10-11修正四版：修正了在监视某些IE程序时路径过长导致的蓝屏情况http://p.blog.youkuaiyun.com/images/p_blog_youkuaiyun.com/chenhui530/EntryImages/20080926/最新诊断程序(修正版).jpghttp://

2008-09-23 22:30:00 6081 35

原创天琊 V1.0(测试 1125版)

“天琊 V1.0(测试版)”是一款集进程管理，文件管理，注册表管理，SSDT服务表管理，SHADOW服务表管理，内核模块察看，Inline Hook扫描，日志导出，保险箱，主动防御（主要针对保险箱功能）于一身的强大的安全反病毒辅助工具。进程管理：提供了丰富的进程相关信息。分别有“状态”(主要是标志是否是隐藏进程和保护的进程，保护的进程主要是针对于保险箱功能的)，“映像名”（进程名），

2008-09-05 19:30:00 8655 36

原创进程-端口-IP地址关联演示2

声明：此份代码参考了“Hook 系统服务隐藏端口”和http://topic.youkuaiyun.com/t/20050105/17/3701810.html#|的一些代码片断和内容，以及对iphlpapi的反汇编才有了这份代码。并且是在原文章"进程-端口-IP地址关联演示"补充和扩展。在"进程-端口-IP地址关联演示"中是没法获取远程IP地址和端口的，现在这份代码已经算比较完美的解决了

2008-08-03 20:02:00 5183 8

原创使用NtQueryDirectoryFile遍历文件/目录

好久没写文章了，今天发个以前写的一个代码，本来是VC的今天专门转换成了VB，希望能给一些有用的人一些帮助。是高手就没必要看了，初学者可以学习下VB的指针操作，和NT系列函数的使用方法。代码下载地址是：http://p.blog.youkuaiyun.com/images/p_blog_youkuaiyun.com/chenhui530/EntryImages/20080722/FindFile.jpgOpti

2008-07-22 22:44:00 6497 2

原创 VB变态应用之“移花接木”

今天可是个好日子啊~~就在这个好日子送给我们广大的程序大朋友们和小朋友们一个节日礼物，同时我也希望这份代码能给带来一些思路和技术上的提升，但是更希望大家能用到正途上不要搞歪门邪道。此代码的功能比较强悍，所以用到好的地方自然能发光，但是用到黑暗的地方可能会辱没了这份代码，希望大家认真对待这份珍贵的代码，我是专门花了一天时间写的，而且专门用VB语言写的，其实用C的话更简单更快，就是想在节日送给我们广大

2008-06-01 00:20:00 8418 10

翻译择录自WINDOWS源码的提权函数

#define SE_MIN_WELL_KNOWN_PRIVILEGE (2L)#define SE_CREATE_TOKEN_PRIVILEGE (2L)#define SE_ASSIGNPRIMARYTOKEN_PRIVILEGE (3L)#define SE_LOCK_MEMORY_PRIVILEGE (4L)#define SE_INCRE

2008-05-23 20:12:00 2719 1

原创终于完成了Ring3下挂钩ring0下的函数程序(目前支持xp)

折腾了一天终于把这个程序搞定了，是蓝了我N次屏变换了N多种方法，终于稳定实现了。目前只是SSDT 挂钩了NtOpenProcess，其实可以挂钩任何ring0下函数（理论上，只是其中很多非常麻烦，会把人搞死的^_^） .今天就此打住，算是有所突破吧。下次准备下个复杂点的inline hook的再加交互~~（是不是太复杂了，做了就知道了^_^）.注意：目前只支持xp，其实可以支持2k,和2003

2008-03-23 21:00:00 3403 13

原创获取快捷方式原文件路径

这篇文章是参考下面地址修改而来希望对大家有用。此方法可以不需要引用IShellLink.http://www.vckbase.com/document/viewdoc/?id=1411 Private Type FILETIME dwLowDateTime As Long dwHighDateTime As LongEnd TypePrivate Type

2008-03-15 19:03:00 5299 1

原创 Ring0下的病毒诊断程序终于完成了

在蓝了我N次屏的情况下，昨天完成了Ring0秒的病毒诊断分析程序，初步测试效果还不错，自己模拟了些感染型病毒也能智能分辨出来，试着调试了些程序还算稳定，冰刃通过，但是在调试自己的进程管理器竟然蓝了，现在还在找原因。程序原理：使用SSDT HOOK来实现API的监管。对文件，进程，内存（只针对写，已经读写内核空间的函数），线程，驱动的加载进行了拦截以及一些常用的注入方式也进行了拦截。拦截函数

2008-03-10 13:38:00 4595 8

原创反病毒工具之病毒诊断程序(更新版增加智能行为分析功能)

程序简介：本程序是一个ring3级的病毒诊断程序，利用了ring3下的API HOOK技术监视了特定程序和其所有子进程的文件，注册表，进程，线程，内存的全面操作，并记录在日志文件中（日志文件名叫“myText.txt”在和程序同一目录中）。通过此程序可以帮助一些专业人士分析病毒的行为，进而做出一些防范措施。程序从前天开始开发昨天初步完成。这两天一直在更新这个程序，增加了感染型

2008-02-13 23:15:00 2962 1

原创 [强烈推荐]ring0下文件解锁&强制删除工具

在发表文章之前得感谢一个人.一个非常不错,功力深厚的程序员,在进程方面有很深的研究.他就是--"炉子".帮我解决了一些问题 .说明:此工具在前天完成,昨天做了初步测试.支持2K/XP/2003/VISTA.比较稳定.但是提醒大家的是在使用前最好先保存你手上的工作,因为内核的东西一不小心就可能蓝屏,我也没办法保证100%没问题,不过大家放心使用,到目前为止只发现一个人使用存在问题.功能:此工

2008-02-04 11:52:00 5361 17

原创反病毒工具之注册表监视器(VC DLL源码)

核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1

2008-02-02 23:56:00 10178 26

原创 [开源讨论]兄弟们你们愿意把你们的源码开源吗?

我一直是一个主张开源的程序员,自己在我现在的博客和以前的博客和一些论坛已经公布了我大部分源码.我也敢夸张的说:我公布出来的源码在优快云上可以算很多了,至少可以排前10了吧?我曾经也想把全部源码毫无保留的公布出来,但是有得代码怎么能公布出来呢?比如:"在内存中感染的方法","感染PE的方法",以及一些强杀进程等文章和源码能公布吗?这些问题我也和朋友讨论过,意见也各不相同.我是一个反病毒

2008-02-02 14:53:00 2964 11

原创反病毒工具之注册表监视器

本程序实现了ring3下的注册表监管工作.由VB+VC实现.功能和瑞星的注册表监视非常类似,如下图:目前只监视了启动项.VC DLL下载地址是:http://p.blog.youkuaiyun.com/images/p_blog_youkuaiyun.com/chenhui530/RegistryInfo.bmp代码先公布VB部分源码,等整理后再给出VC部分的源码:frmRegMonitor.frmV

2008-01-31 23:19:00 10672 23

原创进程-端口-IP地址关联演示

这篇文章是我看了一篇VC的文章增加修改而来,原文章地址我也忘记了,作者也不是很清楚,在这里希望原作者能原谅. 此代码演示了进程和端口以及IP地址的关联,程序使用了ZwQuerySystemInformation函数来枚举所有打开的句柄然后再使用ZwQueryObject函数来获取句柄所对应的路径,如果发现路径正包含/device/rawip或者/device/tcp或者/device/udp即

2008-01-30 23:33:00 9231 4

原创反病毒工具之病毒诊断程序

程序简介：本程序是一个ring3级的病毒诊断程序，利用了ring3下的API HOOK技术监视了特定程序和其所有子进程的文件，注册表，进程，线程，内存的全面操作，并记录在日志文件中（日志文件名叫“myText.txt”在和程序同一目录中）。通过此程序可以帮助一些专业人士分析病毒的行为，进而做出一些防范措施。程序从前天开始开发昨天初步完成，今天完成了简单的测试。从测试中发现了一些问题需要解决

2008-01-27 19:17:00 2428

原创 VB 鼠标钩子实例

此程序演示了在VB中怎么使用鼠标钩子。程序会把按钮覆盖到“开始 ”按钮上，当你按这个按钮的时候会显示一个快捷菜单，并且这个菜单可以响应事件。frmMain.fmOption ExplicitPrivate Declare Function ShowWindow Lib "user32" (ByVal hwnd As Long, ByVal nCmdShow As Long) As Long

2008-01-21 14:54:00 5595 3

原创闭关练功中

为了迎接新的一年和新的东家现在正在紧张的闭关练功中.因为新的东家是搞安全相关的工作,而且我进去后的职务是"病毒分析师",所以最近在温习PE知识和学习静态调试(以前没搞过哦),如果有这方面经验的朋友可以一起学习交流下,如果有兴趣一起交流的或者可以指导小弟的可以联系一下我. 目前用VB写了两种典型的PE感染型"病毒",一种是文件感染型的,一种是内存感染型的.文件感染型的已

2008-01-14 18:29:00 2107 5

原创 [大胆构想]在内存中感染

其实这种想法在很早前就想到了,这两天项目正好正在最后结束阶段时间比较多就把代码写出来了,目前已经成功实现了内存中感染.,如果你对此有兴趣的或者有技术讨论的可以加我QQ 一起交流.QQ 285305530 回答是陈辉(chenhui)

2008-01-14 18:17:00 2457 1

原创获取进程命令行之四

在此之前我已经写了3篇关于如何获取进程命令行的文章，并且都提供了完整源码，这次也不例外。由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释，只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令行之四”这篇文章的原理给大家说说。其实几篇文章的原理都很简单，有的都是通过进程环境块PEB来获取进程

2008-01-09 16:41:00 4451 7

原创 VB PE导出/输入表演示(读文件版)

frmMain.fmVERSION 5.00Begin VB.Form frmMain BorderStyle = 1 Fixed Single Caption = "PE导出/输入表演示" ClientHeight = 5655 ClientLeft = 45 ClientTop = 435

2007-12-31 12:32:00 4699 3

原创 VB PE导出/输入表演示(文件影射版)

frmMain.fmOption ExplicitPrivate Declare Sub InitCommonControls Lib "comctl32.dll" ()Private Function IsArraryInitialize(strArray() As String) As Boolean On Error GoTo ErrHandle Dim i As Lon

2007-12-30 21:41:00 2124

原创 VB PE导出/输入表演示(进程版)

frmMain.frmOption ExplicitPrivate Declare Sub InitCommonControls Lib "comctl32.dll" ()Private Function IsArraryInitialize(strArray() As String) As Boolean On Error GoTo ErrHandle Dim i As Lo

2007-12-30 21:39:00 2579

原创 VC PE导出/输入表演示(进程版)

// GetProcessTable.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "windows.h"#include "stdio.h"typedef LONG NTSTATUS;#define STATUS_SUCCESS (0)#define NT_SUC

2007-12-30 18:06:00 1928

原创 VC PE导出/输入表演示(读文件版)

// GetPeTable.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "windows.h"#include "stdio.h"VOID PrintImportTable(LPSTR strPath);VOID PrintExportTable(LPSTR

2007-12-30 12:31:00 2329

原创 VC PE导出/输入表演示(文件影射版本)

此程序为VC版PE导出/输入表演示程序,大家可以体会一下VC与VB版的不同之处.// GetPeInfo.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "windows.h"#include "stdio.h"typedef PVOID(WINAPI *IM

2007-12-30 09:28:00 2914

原创 PE导出/输入表演示

本程序代码演示怎么遍历导出/输入表.下面是完整源码.frmMain.fmVERSION 5.00Begin VB.Form frmMain BorderStyle = 1 Fixed Single Caption = "PE导出/输入表演示" ClientHeight = 5655 ClientLeft = 45

2007-12-29 08:44:00 2382 2

原创获取QQ群用户列表

frmMain VERSION 5.00Begin VB.Form frmMain Caption = "Form1" ClientHeight = 3090 ClientLeft = 60 ClientTop = 450 ClientWidth = 4680 LinkTopic =

2007-12-20 19:44:00 5274 7

原创利用WMI轻松打造WINDOWS任务管理器

一些WMI应用技巧,其中有监视的创建终止监视等操作代码如下：Option Explicit显示XP风格函数Private Declare Sub InitCommonControls Lib "comctl32.dll" ()显示消息函数Private Declare Function MessageBox Lib "user32" Alias "MessageBoxA" (ByVal h

2007-12-14 12:53:00 2964 2

原创一个小技巧关于PrevInstance的

我们时常会看到某些软件有这样的功能.当程序已经运行的时候再运行这个程序程序会把以前运行的主界面显示在前台来.下面代码就是这个功能.VERSION 5.00Begin VB.Form frmMain Caption = "李小俊是个猪头" ClientHeight = 3195 ClientLeft = 60 ClientTop

2007-12-14 12:46:00 1751

原创 VB 卸载USB设备/解锁文件

这次索性贴完整源码,希望能对大家有所帮助.frmMain.frmVERSION 5.00Begin VB.Form frmMain BorderStyle = 1 Fixed Single Caption = "Usb卸载程序" ClientHeight = 2445 ClientLeft = 45 Clie

2007-12-13 12:40:00 13471 12

原创通过API HOOK 创建SYSTEM用户进程

clsHookInfo.clsVERSION 1.0 CLASSBEGIN MultiUse = -1 True Persistable = 0 NotPersistable DataBindingBehavior = 0 vbNone DataSourceBehavior = 0 vbNone MTSTransactionMode = 0 NotAn

2007-12-13 10:26:00 5649 10

空空如也

空空如也