- 博客(31)
- 收藏
- 关注
RSS订阅原创 如何写自己的壳
Writing Your Own Packer - by BigBoote --------------------------------------------------------------------------------Intro Why write your own packer when there are so many existing ones to choose fro
2008-07-11 23:07:00
1683
转载 简单调试器框架
// silent.cpp : Defines the entry point for the console application.//#include "stdafx.h"int main(int argc, char* argv[]){ STARTUPINFO si; PROCESS_INFORMATION pi; char temp[100]; ZeroMemory(t
2008-06-10 23:33:00
553
转载 SEH:结构化异常处理
结构化异常处理是一种操作系统提供的机制,用来优化程序的结构,提供更加健壮的程序执行环境.试想想你写程序不用考虑哪里有个内存访问错误,哪里有个空指针等等一类的错误,一直按照程序的逻辑结构向下写,而不用去检查函数是否成功,这会是多么愉悦的事情(这个乃是seh的宣传词,不代表我的观点,这里完全是无责任应景之语). 结构化异常处理---seh,是一个操作系统级的概念,操作系统为每个线程(windows平台
2008-06-10 23:32:00
752
转载 Kmdtut 11---目录与文件
11.1 核心句柄表11.2 FileWorks驱动程序源代码11.3 创建目录与文件11.4 文件对象11.5 写入文件11.6 修改文件属性11.7 读取文件11.8 向文件追加数据11.9 截短文件11.10 删除文件与目录11.11 列举目录内容 源程序: KmdKit/examples/basic/FileWorks提供对文件的读写功能是操作系统的一项重要任务。我们来看一下N
2008-06-10 23:31:00
590
转载 Kmdtut 10---注册表
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-145710.1 注册表的结构10.2 在驱动程序中访问注册表10.3 RegistryWorks驱动程序源代码 10.3.1 注册表键的创建与打开 10.3.2 创建注册表键值 10.3.3 访问注册表键值 10.3.4 删除注册表键 10.3.5 更新注册表键 源代
2008-06-10 23:30:00
460
转载 Kmdtut 9---共享内存
9.1 SharingMemory驱动程序源代码9.1.1 DriverEntry函数9.1.2 DispatchControl函数9.1.3 Memory Descriptor List9.1.4 Cleanup函数9.2 SharingMemory应用程序源代码 源代码:KmdKit/examples/basic/MemoryWorks/SharingMemory在上一个例子Sha
2008-06-10 23:29:00
480
转载 Kmdtut 8---共享Section通讯
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1455共享Section通讯董岩译8.1 结构化异常处理8.1.1 seh驱动程序源代码8.1.2 建立 SEH-frame8.1.3 异常处理8.1.4 卸载SEH-frame8.1.5 使用宏来建立/卸载SEH-frame8.2 共享Section通讯8.2.1 Shar
2008-06-10 23:27:00
640
原创 Kmd教程7-后备列表
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1454【在这里下载本文的源代码】7. 后备列表本篇翻译:songsong 源代位置:KmdKit/examples/basic/MemoryWorks/LookasideList 我回来了,对门的那个白人MM听说我是黑客(其实长得黑而已)对我特崇拜,差点要以身相许,幸亏咱意志坚定…
2008-06-10 23:26:00
541
转载 Kmd教程6-系统内存堆
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1453【在这里下载本文的源代码】6. 系统内存堆本篇翻译:songsong 源码位置:KmdKit/examples/basic/MemoryWorks/SystemModules 首先是罗云彬的废话:感谢刘松一起参与这个翻译项目,这样本教程的中文翻译才能这么快和大家见面,刘松是温
2008-06-10 23:24:00
643
转载 Kmd教程5-全功能的驱动程序分析
5. 全功能的驱动程序分析※ 本篇的源代码同第4节的源代码:KmdKit/examples/simple/VirtToPhys5.1 VirtToPhys驱动程序的源代码 现在是到看看一个全功能驱动程序源代码的时候了,这里就是:;@echo off;goto make;::::::::::::::::::::::::::::::::::::::::::::::::::::::::
2008-06-10 23:22:00
937
转载 Kmd教程4-I/O子系统
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1451【在这里下载本文的源代码】4. I/O子系统※ 和本节内容相关的源代码见KmdKit/examples/simple/VirtToPhys4.1 I/O管理器 在用户模式下,我们可以通过访问某个地址来直接调用dll中的函数,与此不同的是,从系统的稳定性考虑,在内核模式下这样做
2008-06-10 23:21:00
767
转载 Kmd教程3-最简单的设备驱动程序
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1450【在这里下载本文的源代码】3. 最简单的设备驱动程序※ 和本章内容相关的源代码见:KmdKit/examples/simple/BeeperKmdKit/examples/simple/DateTime3.1 如何编译和链接内核模式驱动程序 我总是把驱动程序的汇编源代码放到批
2008-06-10 23:19:00
1107
转载 Kmd教程2-服务
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-1449【在这里下载本文的源代码】2. 服务※ 和本节对应的例子代码见KmdKit/examples/simple/Beeper 读者也许有点疑惑:用户模式的服务关内核模式的驱动程序什么事呀?事实上,两者的确风马牛不相及,但是如果我们要和设备驱动程序通讯的话,我们必须首先安装它,启动
2008-06-10 23:17:00
1145
转载 Kmd教程1-内核模式驱动程序基础
转自:http://www.gomb.cn/?uid-2-action-viewspace-itemid-14481.Kernel Mode驱动程序基础 本教程讲述了如何在Windows NT为基础的操作系统上用Win32汇编开发KMD,包括NT4.0、2000、XP和2003等操作系统。开发Windows 95/98/ME使用的VxD驱动程序方面的知识并不在本教程讲述的范围内,另外,毫
2008-06-10 23:12:00
662
转载 MS-07004分析和利用
相信大家对去年的MS06-055还记忆犹新吧,微软的矢量标记语言VML中的Method变量IE未对其进行长度进行检查,导致了一个栈溢出漏洞。2007年的新年钟声刚刚敲响,又一个关于VML的漏洞曝光了,CVMLRecolorinfo::InternalLoad() 中的recolorinfo 方法中存在整数溢出,milw0orm上国外有人第一时间公布了poc代码,无疑为我们的分析过程提供了方便,我们
2008-06-10 13:53:00
492
转载 WinRAR 7z压缩包处理溢出分析和利用
文/图 孤烟逐云(gyzy)【江苏大学信息安全系 & 邪恶八进制信息安全团队】 security.nnov.ru在06年底的时候发布了一个针对WinRAR 7z溢出的POC,可以导致执行恶意代码,可能有些朋友认为7z格式出问题不是那么严重,但WinRAR有个不算Bug的Bug:它是不认扩展名的,这意味着7z格式的压缩包扩展名改成rar还是能被解压,这就给恶意利用创造了机会,嘿嘿。WinRAR
2008-06-10 13:51:00
585
转载 修改引入表打造穿透KIS6的下载者
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774058.aspx每个引入的DLL都会用一个IMAGE_IMPORT_DESCRIPTOR表示,该结构定义如下:IMAGE_IMPORT_DESCRIPTOR STRUCT union Characteristics dd ? OriginalFirstThunk dd ?
2008-06-10 13:48:00
297
原创 MSN 密码获取
**** Windows Live Messenger v8.0 Password Finder for Windows XP & 2003** (Compiled-VC++ 6.0 SP6, tested on WinXP SP2, Windows Live Messenger8.0.0812.00)** - Gregory R. Panakkal** http://www.crapware.t
2008-06-10 13:45:00
281
转载 MSN 密码获取
**** Windows Live Messenger v8.0 Password Finder for Windows XP & 2003** (Compiled-VC++ 6.0 SP6, tested on WinXP SP2, Windows Live Messenger8.0.0812.00)** - Gregory R. Panakkal** http://www.crapware.t
2008-06-10 13:45:00
352
转载 跟踪Native API函数调用
跟踪Native API函数调用序言我们来研究一样非常有用的东西。我甚至要说,在某些情况下,离了它是寸步难行的,而且它能让我们对Windows的内部机制有个很好的认识。是的,本文的题目已经是不新鲜的已经被讲滥了的东西了。在这方面有众多的文章甚至是专著,作者也都是著名的专家,像Jeferry Ritcher, Matt Petriek, Sven Schreiber, Mark Russinovic
2008-06-10 13:43:00
1593
转载 ScanMac.cpp
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774033.aspx/*凑合了两份代码,就成了这个程序是用来扫描MAC地址的因为是凑合的,姑不敢称原创编译环境:Borland C++ ---bcc32.exe -edemo scanmac.cpp系统环境:XP_SP2by asm http://www.asm32.cn/*/#inc
2008-06-10 13:42:00
250
转载 TCP/IP学习代码_asm
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774032.aspx这个程序写到一半,就不想写了,所以代码写得比较龌龊,但是还是可以多用户上线的,其他的你们可以自己修改吧...........发上来给需要的人,说不定对你们谁有用呢..................注意:代码仅供学习之用,若用此代码修改写成恶意程序,与我无关....
2008-06-10 13:40:00
382
原创 Kill_Vagaa_Process完整版
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774031.aspx今天才完成这个代码,把它放在同事的电脑上,免得他用Vagaa.exe拖AV,他爽了,我却麻烦了...386.model flat, stdcalloption casemap :none;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2008-06-10 13:38:00
490
转载 列举进程的内核函数ZwQuerySystemInformation _asm
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774030.aspx编译的时候指定控制台模式/subsystem:CONSOLE .586.model flat, stdcalloption casemap:noneinclude windows.incinclude kernel32.incinclude user32.incin
2008-06-10 13:35:00
526
原创 通过进程链枚举进程_asm
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774029.aspx程序用内核驱动的方式进入ring0,然后访问EPROCESS结构,在EPROCESS结构中找到进程链,从而可实现进程的枚举,但是由于PID 为0的系统进程Idle并没有在这个链上.所以通过这种方法自然也就找不出它来.程序输出可以用softice或DebugView工
2008-06-10 13:33:00
321
转载 Hook API监视驱动的加载_ASM
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774026.aspx;**************************************************************************************************;Author:dge/D哥;Date :2006.7.20;**
2008-06-10 13:30:00
349
转载 Hook API监视驱动的加载_ASM Hook API监视驱动的加载_ASM
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774026.aspx;**************************************************************************************************;Author:dge/D哥;Date :2006.7.20;**
2008-06-10 13:28:00
500
原创 进程链表监视进程是否被创建或者销毁
既然可以通过进程活动链表来枚举进程,当然可以用来监视进程是否被创建或者销毁。下面的程序是KmdKit例子里的代码,我在学习的过程中已经加了详细注释。KmdKit/examples/basic/Synchronization/SharedEvent - ProcessMon驱动代码:;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
2008-06-10 13:04:00
456
原创 在VC中编译、运行程序的小知识点
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774019.aspx1、Run-Time LibraryRun-Time Library是编译器提供的标准库,提供一些基本的库函数和系统调用。我们一般使用的Run-Time Library是C Run-Time Libraries。当然也有Standard C++ librar
2008-06-10 13:02:00
241
转载 驱动程序的动态加载
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/06/1774018.aspx 驱动程序做出来后,怎么用呢?根据Four-F的说法,有三种方式:服务控制管理器(Service Control Manager (SCM).) 服务控制程序(Service Control Program (SCP).)和服务程序(service
2008-06-10 12:58:00
422
转载 用户层下拦截系统api的原理与实现
转自:http://blog.youkuaiyun.com/iiprogram/archive/2007/09/05/1774009.aspx 拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要
2008-06-10 12:48:00
354
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人