- 博客(10)
- 收藏
- 关注
RSS订阅转载 C和C++语言学习总结
C和C++语言学习总结(资料来自 林锐博士 2001 年7 月24)知识结构:1、if,for,switch,goto2、#define,const3、文件拷贝的代码,动态生成内存,复合表达式,strcpy,memcpy,sizeof4、函数参数传递,内存分配方式,内存错误表现,malloc与new区别5、类重载、隐藏与覆盖区别,extern问题,函数参数的缺省值问题,宏代码与内联函数区别6、构造和析构的次序,String函数定义具体实现:1、
2011-03-15 13:28:00
266
转载 rootkit hook 之[七]--- IAT Hook
<br />今天这篇HOOK,主要是讲在内核中HOOK WIN32 API的办法。这个办法,比你采用全局钩子加载DLL来HOOK API的方法更具有隐蔽性。 到这里我们的内核hook 7篇组成的“七星剑法“就练完了。后面将开始关于保护模式的八篇文章,希望大家继续跟贴鼓励。<br /><br /> 在内核中hook win32 api需要用shellcode的东西。因此在内核中hook win32 api也具有魅力。因此,为了写好此篇,也花费了我不少时间。篇幅较长,大家慢慢看。<br /><br />
2011-03-14 12:12:00
422
转载 rootkit hook 之[八]------EAT HOOK
<br />看了combojiang大侠的rootkit专题,发现少了一个导出表钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章,<br /> <br /> 偶学的东西不久,很多东西还不知道,请多指教,呵呵<br /> <br /> 导出表钩子比导入表钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId这个ntkrnlpa.exe<br />
2011-03-14 12:12:00
511
转载 rootkit hook之[六] -- sysenter Hook
<br />SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的,这种方式会进行栈切换,并且系统栈的地址等信息由TSS提供。这种方式可能会引起多次内存访
2011-03-14 12:11:00
288
转载 rootkit hook 之[五] -- IRP Hook全家福
<br />年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。我们看下图的标准模型。请看大屏幕。 <br />8.JPG下载此附件需要消耗2Kx,下载中会自动扣除。<br /> 注意这个标准模型中,并不是每种IRP都经过这些步骤,由于设备类型和IRP
2011-03-14 12:10:00
368
转载 rootkit hook之[三] inline hook
<br />最近为了写好rootkit inline hook篇,特意A了著名的流氓软件(cdnprot.sys),这个文件很庞大,有152k之多, 花费了我好几个晚上的时间,让我少看好多集的电视剧《闯关东》,在这个软件里面用了很多好的技术,不管怎么说,技术本身是无辜的,由于我们今天谈论的主题是Inline hook,因此今天只是带领大家看看他是怎样使用inline hook这项技术的。今天是一年一度的小年,发表此篇,作为对大家的小年献礼吧,顺祝大家小年好。<br /><br /> 关于什么
2011-03-14 12:09:00
475
转载 rootkit hook之[四]-- IDT Hook
<br />今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。<br /><br /> 我们首先来了解下什么是IDT?<br /> IDT = Interrupt Descriptor Table 中断描述表<br /><br />IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表的大小为256*8=2048 bytes,每个中断向量关联了一个中断处理过程
2011-03-14 12:09:00
350
转载 RootKit hook之[二] SSDT hook
<br />谈到ssdt hook,先前有堕落天才的一篇文章《http://bbs1.pediy.com/showthread.php?p=285856#poststop"]SSDT Hook的妙用-对抗ring0 inline hook》大家如果对基本概念不了解的话,可以看看这篇文章。另外,有一篇博客上也绘声绘色的描述了它。简单说说SSDT。<br /><br /> 今天我们透过一个实例看看它的应用,这个实例来源于sudami前面发出的一篇文章<br />一VBS病毒过IS和微点了,无语...
2011-03-14 12:08:00
395
转载 RootKit hook 之[一] object hook
<br />今天是2008年1月8号,一个非常响亮的日子,今天我们将开始rootkit实战之旅。第一篇是object hook.<br /><br />这篇文章来源于前段时间我逆向的机器狗代码,前段时间我只是贴出了应用的部分,对于内核的部分,我没有贴出来,主要是害怕他被别人利用。但是从学习角度来讲,这里面rootkit的应用,却是一个非常好的学习例子,所以今天我把它拿出来作为我们rootkit的开篇来讲。希望大家不要将代码用于他途。<br /><br /> 对于这个rootkit,突破还原是它的
2011-03-14 12:07:00
314
1
转载 Rootkit的学习与研究
<br />Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。<br /><br /> 对于ROOTKIT专题的研究,主要
2011-03-14 12:06:00
317
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人