lionzl的专栏

说到USB设备，不得不提到各种描述符（descriptors), 一般来说，描述符有如下几种：    1：设备描述符（Device Descriptors)    2：配置描述符（Configuration Descriptors)    2：接口描述符（Interface Descriptors)    3：端点描述符（Endpoint Descriptors

为了在Vista中用imagex创建wim镜像,在Command Prompt模式下发现运行后出现下列错误提示:ERROR: The current logged on user does not have administrative privileges.我的用户本身就是属于Administrators Group的，可是不知道为何没有全部的管理员的权限，于是到网上找资料。可惜并没

  Winlogon notify的Vista移植By MikeFeng  QQ: 76848502 大家知道，在Windows XP和2000中，有个Winlogon notify的方法来接收logon，logoff事件。如果有些事情需要在登录注销时去做，那么使用notify技术可以很好的解决。但是，出于安全考虑，在vista下，原来的winlogon notify的功能被微软取消了。现在只

近一直在研究rootkit，首先申明我是rootkit的菜鸟哈，也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来，也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来，但是一般的方法是看不出来的，比如任务管理器，和程序里面列出进程都是看不到的。程序中我已经添加了相关的注释，这里

驱动笔记：SSDT HOOK实现进程保护 2009-02-19 10:30:47  www.hackbase.com  来源：7747.net　　http://nokyo.blogbus.com/logs/35320995.html　　SSDT HOOK已经是很老的技术了，但对新手来说还是有一些嚼头的。根据常规的做法，我们应该挂钩ZwTerminateProcess函数，不过这个函数仅有两个参数，

Gh0u1s Blog一种新的加载驱动方法非完整爆光作者:langouster端午大放血，一种新的加载驱动方法，应该属于0day。为了网民考虑，我不会公开全部技术，但如果有心，根据这些要点肯定可以研究出这个技术。加载步骤：1。编写一驱动，不用关sfc，直接复制替换系统目录下的某文件。2。调用某API函数，此函数不是由ntdll,kernel32,user32这些DLL导出的，

利用驱动程序隐藏任意进程，目录/文件，注册表，端口2006-07-26 12:27  作者：     来源：     发表时间：2006-05-19     -- 利用驱动程序隐藏任意进程，目录/文件，注册表，端口[转帖]查找进程，目录/文件，注册表等操作系统将最终调用 ZwQueryDirectoryFile，ZwQuerySystemInformation， ZwXXXValueKey 等函数

通过ZwSetSystemInformation和ZwLoadDriver加载驱动(转)2007-09-29 09:13这段时间接触了一点点windows内核以及驱动编写的东西.深知其博大精深难以学习.入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修

标 题: 【原创】SSDT Hook的妙用－对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:【原创】SSDT Hook的妙用－对抗r

Writing drivers to perform kernel-level SSDT hookingThe goal of the reader is to perform the the below points while following the tutorial. The tutorial describes how to do this step by step.Write

原文出处：http://bbs.tian6.com/redirect.php?tid=12021&goto=lastpost前言：这只是一篇类似于教学性的paper，在本文中阐述了一些SSDT HOOK的基本原理与实现方法，方法并不高深也不新颖，只是方便如同我一般的小菜们能够了解SSDT HOOK的概念，并通过一个小程序实现ring0下SSDT HOOK来隐藏特定进程。大牛请飘过。什么是S

Loading drivers and Native applications from kernel mode, without touching registry"How to load driver without touching registry from kernel mode", this is asked almost always.Today, I will give you a

使用WinDBG和VMware调试驱动程序2008-07-14 20:42环境的搭建参考：http://hi.baidu.com/1ian9yu/blog/item/bbaf1301240d7ad3267fb524.html，这里只说调试。还是先统一一下名称，真实的操作系统叫HostOS，在VMware里虚拟的操作系统叫GuestOS。我们编写完驱动后，当然要进行调试，这不可能在HostO

[转载]WinPcap3.1的手动安装方法 文章作者：RIVULET信息来源：rivulet's blog(www.rivuletblog.bokee.com)1，安装需要用到以下文件，Packet.dll，WanPacket.dll，wpcap.dll,pthreadVC.dll,

创建时间：2003-06-25文章属性：原创文章提交：sinister (jiasys_at_21cn.com)任意用户模式下执行 ring 0 代码Author  : sinisterEmail   : sinister@whitecell.orgHomePage: http://www.whitecell.org     众所周知在非 Admin 用户模式下，是不允许加载驱动执行

SSL/TLS/WTLS原理作者：yawl 主页：http://www.nsfocus.com日期：2001-02-19一 前言首先要澄清一下名字的混淆：1 SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。2 IETF(www.ietf.org)将SSL作了标准化，即RFC2246,并将其称为TLS（Tr

http://www.bitsum.com/aboutwfp.aspUseful tools:WfpReplace - Tool to replace WFP protected files. (x32 and x64) [C++ source included]WfpAdmin - Tool to disable WFP on specific folders. (x32 only)Mo

Driver Development for Windows 64-bit.Evgeniy Ryzhkovwww.Viva64.comMarch 2007Abstract. Questions concerned with the release of drivers for 64-bit versions of Windows are considered

64-bit Device Driver DevelopmentMarch 1, 2011This article is intended to be a “quickstart” guide for building, loading, and debugging a simple device driver for a 64-bit Windows 7 sy

64-bit Device Driver DevelopmentMarch 1, 2011This article is intended to be a “quickstart” guide for building, loading, and debugging a simple device driver for a 64-bit Windows 7 sy

假设.有一个目标进程A..在驱动中首先获取其EPROCESS..然后用这个PsGetNextProcessThread取出其线程..然后取出ETHREAD...也等同于KTHREAD..(是第一个字段).然后关键就是这个ServiceTable..字段..关于这个指针..ShadowSSDT Hook系列的文章会说.如果其不是GUI进程则此字段不会指向Sha

NetBT错误导致的局域网不能访问问题：可以Ping到IP地址、Internet域名，但不能访问局域网上的其他电脑，Ping NetBIOS名称无反应，ipconfig/all显示 NetBIOS over TCPIP ---Disable。在系统日志中可

有关DPC的一些内容deferred procedure call (DPC) 延迟过程调用dpc 主要是为了减少处于高 IRQL 的硬件中断处理的时间。 由于低 IRQL 的硬件中断不能中断 高 IRQL 的硬件中断处理。 而可能有些硬件的中断处理代码量

Debugger DesignIntroductionDuring my years in the Sun debugger group I had lots of impromptu design discussions with other membe

关于下一代木马的设计理念的讨论信息来源：邪恶八进制信息安全团队（www.eviloctal.com）文章作者：qszzsq（森哥）*************************************************************************************************************************    写在前面的话*    几天前，曾经把一部分想法发表在 暗组论坛了*    有幸应冰血之约，来这里好好畅谈一下

<br />如何在windows程序中读取bios内容<br />原 作 者：火翼[CCG]<br />原 出 处：www.chat001.com<br />发 布 者：loose_went<br />发布类型：转载<br />发布日期：2004-01-04<br />今日/总浏览：1/5079<br />下载代码：<br />今天和夜月兄讨论了一下在windows nt/2000/xp下如何读取bios信息，现在把 <br />结果向大家汇报一下。 <br />

<br />Articles<br />    * KHOBE – 8.0 earthquake for Windows desktop security software<br />    * Plague in (security) software drivers<br />    * Introduction to Firewall Leak-testing<br />    * Comparison of top five personal firewalls<br />    * More ab

LPC(Local Procedure Call) 本地过程调用，是一种非常高效的进程间通讯方式。不同于LRPC的是，LPC是通过端口进行通信，而LRPC是对多种通信方式的封装，可以支持port，TCP/IP，和UDP。微软虽然没有公布这个协议，但是windows经常用它进行通信(win32子系统)，LPC通信的基本步骤大概如下：1. NtCreatePort 来创建一个命名端口，

一.自启动项目:开始---程序---启动,里面添加一些应用程序或者快捷方式.这是windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.路径:C:/Documents and Settings/Owner/「开始」菜单/程序/启动二. 第二自启

KeUserModeCallback用法详解本帖被 xIkUg 执行置顶操作(2010-01-11) ring0调用ring3早已不是什么新鲜事，除了APC，我们知道还有KeUserModeCallback.其原型如下：Copy codeNTSTATUSKeUserModeCallback (    IN ULONG ApiNumber,   

get current user and user profile path from window service   voidgetCurrentUserName( char *szCurName, DWORD sessionID ){    HANDLE hToken , hTokenthis;    TOKEN_USER          oUser[16];    DWORD      

在Win2000/XP上安静地替换正在使用的系统文件 作者：bgate邮件：t2di4u@hotmail.com (要找个没被用过的id真不是件容易的事):   总是索而不敷总有些过意不去.另外在安焦上灌了两年水竟然安焦文档还找不到一个我的名字. 灌不出篇精华帖子还回复不到别人灌的精华贴. 也算得上是个奇迹了.    要安静地替换正在使用的系统文件要解决两个问题:   1. 替换正在使用的

创建时间：2007-02-26文章属性：原创文章提交：sinister (jiasys_at_21cn.com)Author:  sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.org Date:    2007-02-26/**************************************

至于为什么要去掉   DRIVERTYPE=WDM   的原因是:     DRIVERTYPE=WDM   要求在INCLUDES条目中用WDM_INC_PATH来代替DDK_INC_PATH     也就是在Driver.c中的头文件就应该是wdm.h,而不是ntddk.h     而在程序中使用到的某些函数原型却只有在ntddk.h中有,在wdm.h中没有.比如 typedef

Download source code - 871.98 KB Download demo - 230.68 KB List of ContentsIntroduction Is this article dangerous? Legal reason to hide processes and files Projects used Project implementation Project

 直接从CMOS读取系统时间收藏function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http:/

<!-- function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http://www.365

http://www.pediy.com/bbshtml/bbs7/pediy7-711.htm标 题: 【翻译】输入数据 输入函数表之二___在.rdata节的输入函数 发帖人:声声慢 时 间: 2005-02-14 22:59 原文链接:http://bbs.pediy.com/showthread.php?threadid=11155 详细信息:

DownloadsPE Viewer PE Maker - Step 1 - Add new Section. PE Maker - Step 2 - Travel towards OEP. PE Maker - Step 3 - Support Import Table. PE Maker - Step 4 - Support DLL and OCX.

详谈调用winpcap驱动写arp多功能工具作者：TOo2y 一 winpcap驱动简介二 Packet.dll相关数据结构及函数三 T-ARP功能及原理介绍四 T-ARP主要代码分析五 T-ARP源代码 一、winpcap驱动简介winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。(编者注：WinpCap开发包可以到以下两