１) 利用GetDriveType函数：Declare integer GetDriveType in "kernel32" String Dgs=0For I = 65 To 90 　　vName=Chr(I) + ":" 　　Lx=GetDriveType(vName) 　　Do Case　　　　Case Lx=2　　　　　Dgs=Dgs+1　　　　　wait wind 这是个软盘　　　　

NTBINDSHELL 源代码共享/** Win32 RootKit - cmd.exe remote shell backdoor* (c) 2003 Christophe Devine devine@cr0.net>* Distributed for educational purposes only!** Before running ntbindshell.exe, rename it t

Author:  PolymorphoursEmail:   Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date:    2005-11-17 /* Author: Polymorphours Date: 200

Author:  PolymorphoursEmail:   Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date:    2005-11-17 /*++ Author: Polymorphours Da

系统调用接口===========================                              Я смотрел на снег весь день... Падающий...                              Всегда вниз. Падающий весь день.                              И т

内存与进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                          

可重用驱动代码片段驱动里面操作文件真他妈的麻烦啊!以前没有搞过，昨天下午一直搞不好，昨晚看了看Native API 参考，在Ring3下只用DDK数据类型并引入NTDLL.DLL写了个例程，编译调试运行通过，拿到驱动程序里编译也可以。总结一个好的调试驱动程序的方法，大部分和Native API(ZwXXX之类的API)相关的的程序片段可以在Ring3编写调试(多方便啊!)，引入NTDLL.DLL即

WindowsXP Professional SP2测试通过..386.Model Flat,StdCallOption CaseMap :NoneInclude /Masm32/Include/Windows.incInclude /Masm32/Include/User32.incInclude /Masm32/Include/Shell32.incInclude /Masm32/Includ

port/connection hiding@ :: worthy ::   Jun 18 2004, 15:57 (UTC+0) akcom writes: after reading HolyFathers article on rootkits, i wrote a hook to hide connections. Ive noticed a few people saying tha

十分抱歉，匆匆写了几句代码有点bug，即“ZwOpenSection(&g_hMPM,SECTION_MAP_WRITE|SECTION_MAP_WRITE,&attributes)”使得第一次运行返回失败，请删除原文，改正为：                             pjf (jfpan20000@sina.com)    上次在CVC提到了这东西，因为很简单觉得没必要多说什么，

监视远程线程的创建作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中，通过在别的进程中插入线程的方式运行代码，具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行，在其中插入一个线程后，谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动，记

发布日期：2004-03-09文摘内容： 文摘出处：http://www.xfocus.net/articles/200403/680.html创建时间：2004-03-06文章属性：原创文章提交：SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================            

IntroductionThis tutorial will attempt to describe how to write a simple device driver for Windows NT. There are various resources and tutorials on the internet for writing device drivers, however,

本想找个工作再出个 Under The Hood 中文版，但因要去莫斯科大学读数学，计划只好作罢，等我学了俄语，为大家翻译俄文资料，在我看来俄罗斯的计算机可是很强的。听说袁哥也曾想作数学家？鄙人拙译：Unraveling the Mysteries of Writing a Winsock 2 Layered Service Provider Wei Hua, Jim Ohlund, Barry

注意：要查看此视频，您的计算机中必须安装 Windows Media Player 7.0 或更高版本。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：299321 (http://support.microsoft.com/kb/299321/) Windows Media Player 7.1 的说明和可用性 当您使用各种 Microsoft 工具调

Win32 user-mode programmers are accustomed to using and creating dynamic link libraries, or DLLs, to compartmentalize their applications and enable efficient code reuse. The typical application includ

pjf(jfpan20000@sina.com)很久没写什么东西，一来文笔太烂，二来我不是一般的懒。这个东西一看题目也就知道又是一篇无聊的帖子，凑凑数先。因为最近决定把读本科时的古董机上的东西收拾一下，看到一些最初学习时的老代码，回忆往日的时光，还颇有一些感慨呢...以后有空就选一些贴贴，也不怕人笑了。今天第一帖，代码原是大二时为NT4系统写的，是原先实践x86体系写的，作用是在Driver中“调

关于清除线程创建监视例程这个问题，我以前在水木清华问过了。那时候2k源代码好像还没被hack出来，但高手就是高手啊，看看这个回答：文章出处:水木清华发信人: soycola (酱油可乐), 信区: MSDN标  题: Re: 关于PsSetCreateThreadNotifyRoutine的问题发信站: BBS 水木清华站 (Mon Nov 24 22:53:32 2003), 转信这个确实比较搞

首先我在这里说明，MS 调试信息的支持其实MS 已经提供了DBGhelp和imagehel 这两个库，当我们如果想更深入的了解调试信息就必须来了解调试文件。我在这里只讨论DBG文件和PDB文件，由于其中的很多信息，MS并没有公开，我也只属于探索阶段，所以错误再所难免。  一般的调式信息由MS提供的一般由两个文件，DBG文件和PDB文件，在NT4。0中没有PDB文件，PDB文件中的信息被保存在DBG

进程隐藏的Delphi代码 unit UnitHideProcess;interfaceusesWindows, Messages, SysUtils, Variants, Classes, Graphics, Controls,Forms, Dialogs, Registry, ComCtrls, StrUtils, StdCtrls,ToolWin, Menus, ImgList, ActnL

枚举全局钩子作者: 一块三毛钱邮箱: zhongts@163.com日期: 2005.6.19　　首先强调一点，本文给出的代码只在 WinXP+SP2 下测试通过，使用其他系统的朋友最好看懂代码，然后调试运行。如果不巧系统蓝屏可不要找我哦。:)　 点此下载　　鼠标钩子、键盘钩子等大家一定是耳熟能详，在 Windows 环境下编程的朋友们肯定都和他们打过交道，比如说截获密码什么的都可以用到他们。本文

驱动程序的动态加载 作者：电子管 于2005-4-23上传 by Aogo汇编小站驱动程序做出来后，怎么用呢？根据Four-F的说法，有三种方式：服务控制管理器(Service Control Manager (SCM).) 服务控制程序(Service Control Program (SCP).)和服务程序(service program).下面我们就用服务控制程序(SCP)来实现驱动程序的动

创建时间：2005-12-20文章属性：原创文章提交：backspray (nimaozhi_at_163.com)作者：倪茂志邮件：backspray008@gmail.com完成于：2005.12.20文章分为八个部分：                一、为什么需要伪造内核                二、伪造内核文件                三、隐藏进程               

IDT是定义硬件中断映射的表，当硬件中断发生的时候，CPU会直接把控制权交到IDT的相应ISR中去运行，根本不去关心是否有Kernel Interrupt Object(CPU根本不知道Kernel Interrupt Object是什么)。[ 读者小强：啊？？？！！！想不到Interrupt Object这么不重要？？？那Interrupt Object在中断发生的过程中扮演着什么角色呢？]呵呵

转载自http://advdbg.com/blogs/advdbg_system/articles/45.aspx对于从事Windows驱动开发的朋友，或者是对Windows内核感兴趣的朋友，以下几个BLOG值得经常看看！1，Kernel Mustard by Steve Dispensa link: http://kernelmustard.com/category/ddk/他以前的BLOG地址

Windows 远程内核漏洞注入作者：Barnaby Jack译：北极星2003EMAIL：zhangjingsheng_nbu@yahoo.com.cn说明：只翻译原资料的所有技术相关部分， 忽略了一小部分冗余信息。-------------------------------------------------------------------------------------------

The standard way to use Microsofts WinDbg debugger is to connect two PCs with a null modem cable. This configuration is fine for the initial development of a driver. As soon as you unleash your code

Drivers:1.      APC kernel. This shows APC techniques. Also shows use of PsLookupProcessByProcessId, KeAttachProcess and KeDetachProcess.2.      Driver loading a driver. A driver that loads anothe

维护: 小四 链接: http://www.opencjk.org/~scz/200402170928.txt创建: 2004-02-17 09:28更新: 2006-03-14 10:59--    如有推荐，请发信至多多指教，谢谢。--[ 1] Avoiding Windows Rootkit Detection/Bypassing PatchFinder 2 - Edgar Barbosa[

很多关于端口关联进程的方法都是在用户态实现的，如fport等，结合大虾们的方法，这里给出一种在核心态实现的方法，方法可能比较笨 ^_^大概是1.用ZwQuerySystemInformation列出系统所有的句柄2.找出类型为SOCKET的句柄3.根据SYSTEM_HANDLE_INFORMATION.object的一些数据，用NtDeviceIoControlFile得到端口相关信息这种方法在用

点别人的源码，不错的！有详细的注释 代码不全，这是涉及主要的部分！ 里面有涉及普通常用且又重要的编程思路，所以贴出来啦！ 自己是菜鸟，自己不懂藏着也没用,希望对你有用哦 /*--------------------------------------------------------------------- //mysvr.c //Coder: sjdf //E-mail: sjdf1@163

创建时间：2005-11-05文章属性：原创文章提交：jqzmb (jqzmb_at_163.com)kernel inline hook 绕过vice检测                   uty@uaty                       zmba@tom.com在user mode的inline hook比较好用,因为很少有多线程的问题,所以可以采用把API前5字节改为跳转指令到

作者：scz 主页：http://www.nsfocus.net日期：2003-09-03这只是我一篇巨长无比的笔记中的一小节，因此只列了本节所引参考资源，可我还是很乐意向大家推荐[8]、[10]。如果对你有用，是否也可以给我订份小礼物，呵，小玩笑啦。☆ 通过TEB/PEB枚举当前进程空间中用户模块列表实在没精力找出最早介绍该项技术的文章，尽管很想知道答案。29A杂志中大量使用该技术([8])，并

[转载] 作者:sunwear@E.S.T 来源:邪恶八进制 发布:sun

来源：rootkit_com 作者：Clandestiny 翻译：fqh “Help!我是一名新手！我需要一款rootkit入侵朋友的机器…我想编写自己的rootkit…我想开始开发代码… 该从哪里入手？”此类问题在rootkit.com上不断地出现，并且重复回答一些人问的相同问题浪费了大量时间，我想到我们应当编辑一个短小的文档来对它们进行一般性的叙述。下面的论述远非完整的，社区中有经验的人可以提

昨天的inline hook 是在程序的最开始的前5字节改成jmp xxxx,缺点是太容易被发现,当然可以用变形的方法来替换jmp,比如push xxxx,ret 其他的很多方法,但昨天就考虑到除了变形外还可以把改写的位置放在其他位置上,比如从被hook的函数开始的第8个字节的几个字节改写成jmp xxxx,位置是不固定的,要看具体情况而定,比如NtDeviceIoControlFile,nt

Although much of the information in this book is based on reading the Windows source code and talking to the developers, you dont have to take everything on faith. Many details about the internals of

--------[  Greg Hoglund   ]Introduction------------First of all, programs such as Back Orifice and Netbus are NOT rootkits.  Theyare amateur versions of PC-Anywhere, SMS, or a slew of other commercial

Author  : ilsy Email   : ilsy@whitecell.org HomePage: http://www.whitecell.org 日  期：2002-02-06类  别：安全 关键字：进程 PDE PTE 分页 内核对象 线性地址 物理地址    关于进程与端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.fport.exe

使用WinDbg调试程序什么是WinDBG?WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试， 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣，可以阅读Inside Windows 2000和Windbg所带的帮