WINDOWS
关注
分享
扫一扫
文章平均质量分 69
eaglenet
这个作者很懒,什么都没留下…
展开
-
Windows rootkits in 2005, part one
Windows rootkits in 2005, part oneJames Butler, Sherri Sparks 2005-11-04In 2005, the bar has been raised in the arena of malicious software. This has never before been more evident than in the recent转载 2006-02-02 00:24:00 · 908 阅读 · 0 评论 -
SSDT hook example (hiding processes) correction
SSDT hook example (hiding processes) correction By: Orkblutt Hi all,just to make a little correction on that example ( http://www.rootkit.com/va转载 2006-03-01 13:10:00 · 1639 阅读 · 0 评论 -
Enumerating Network Resources
Enumerating Network ResourcesThe following example illustrates an application-defined function (EnumerateFunc) that enumerates all the resources on a network. The sample specifies NULL for the point转载 2006-02-25 04:19:00 · 1015 阅读 · 0 评论 -
内核级HOOK的几种实现与应用
内核级HOOK的几种实现与应用创建时间:2003-03-26文章属性:原创文章来源:http://www.whitecell.org文章提交:sinister (jiasys_at_21cn.com)内核级HOOK的几种实现与应用Author : sinisterEmail : sinister@whitecell.orgHomePage: http://www.whitecell.or转载 2006-02-21 21:59:00 · 989 阅读 · 0 评论 -
内核反汇编技术
内核反汇编技术=============================== Усыпляющее шептание алых просторов Сон зовет меня и мои мечты освобождены转载 2006-02-24 11:46:00 · 1621 阅读 · 0 评论 -
获取Windows 系统的内核变量
获取Windows 系统的内核变量创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内核变量作 者:于旸邮 件:tombkeeper[0x40]nsfocus[0x2e]com tombkeeper[0x40]xfocus[0x2e]org完成于:2004.07.30关键转载 2006-02-21 22:00:00 · 1161 阅读 · 0 评论 -
Windows环境下32位汇编语言程序设计
http://act.it.sohu.com/book/serialize.php?id=63转载 2006-02-21 18:06:00 · 1177 阅读 · 0 评论 -
通过读取KiWaitInListHead列出隐藏的进程
[转载]通过读取KiWaitInListHead列出隐藏的进程来源:http://blog.youkuaiyun.com/sunwear//*有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.技术转载 2006-02-19 15:48:00 · 916 阅读 · 0 评论 -
利用伪造内核文件来绕过IceSword的检测
创建时间:2005-12-20文章属性:原创文章提交:backspray (nimaozhi_at_163.com)作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分: 一、为什么需要伪造内核 二、伪造内核文件 三、隐藏进程转载 2006-02-19 15:40:00 · 1068 阅读 · 0 评论 -
A more stable way to locate real KiServiceTable
A more stable way to locate real KiServiceTable By: 90210 Tan Chew Keong in his Win2K/XP SDT Restore 0.1 uses a simple way to find changed SDT e转载 2006-02-14 13:38:00 · 1130 阅读 · 0 评论 -
从堆栈查找Kernel32.DLL基址
原理是这样的:每个用户态进程的WinMain代码都是由启动代码(CRTStartup)调用的,而启动代码是kernel32.dll里的某个函数调用的,当然也可能没有WinMain和WinMainCRTStart之类的函数(如Delphi编译出的代码),但进程启动后,kernel32.dll中的一个的未知代码位置一定保存在堆栈里的,所以从顶往底测试堆栈里的元素,一定可以找到kernel32.dll的转载 2006-02-18 13:40:00 · 1765 阅读 · 0 评论 -
关于进程PEB结构的修改实现
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:转载 2006-02-18 13:23:00 · 4792 阅读 · 0 评论 -
Hook ZwQuerySystemInformation 隐藏qq程序
Hook ZwQuerySystemInformation 隐藏qq程序 近一直在研究rootkit,首先申明我是rootkit的菜鸟哈,也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来,也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来,但是一般的方法是看不出来的,比转载 2006-03-24 00:52:00 · 4771 阅读 · 1 评论 -
探测Windows2K/XP/2003本机系统信息
探测Windows2K/XP/2003本机系统信息 作者:TOo2y Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。(PS:转载 2006-02-02 04:54:00 · 932 阅读 · 0 评论 -
剖析Windows系统服务调用机制
剖析Windows系统服务调用机制作者:Brief (brief_at_safechina.net)出处:http://www.xfocus.net/articles/200405/696.html日期:2004-06-03创建时间:2004-05-06文章属性:原创文章提交:Brief (brief_at_safechina.net)剖析Windows系统服务调用机制Author: Bri转载 2006-02-02 04:47:00 · 844 阅读 · 0 评论 -
Windows rootkits of 2005, part three
Windows rootkits of 2005, part threeJames Butler, Sherri Sparks 2006-01-05The third and final article in this series explores five different rootkit detection techniques used to discover Windows roo转载 2006-02-02 02:00:00 · 985 阅读 · 0 评论 -
Windows rootkits in 2005, part two
Windows rootkits in 2005, part twoJames Butler, Sherri Sparks 2005-11-171. IntroductionIn our previous article, we discussed current rootkit development techniques. In this article, we take it a step转载 2006-02-02 00:43:00 · 1052 阅读 · 0 评论 -
some ideAs About steAlth for rootkit
some ideAs About steAlth for rootkit By: uty hi,i mAde A bAckdoor this dAys,just for leArning the skills.so some of the code you mAy fAmiliAr :>转载 2006-03-01 13:20:00 · 1682 阅读 · 0 评论