土星·北海若

转自http://www.woodmann.com/fravia/iceman1.htm                                                            WIN32 - Inside Debug API ------------------------ (Things you need to know: the mysterious

对于擦除模块痕迹,我实验了两种方法,下面一一阐述:1.修改PEB结构,用代码说话typedef struct _PEB_LDR_DATA ...{  ULONG               Length;  BOOLEAN             Initialized;  BYTE    reserved[3];  PVOID               SsHandle;  LIS

下面是反汇编ntdll.dll的NtCreateEvent部分 NtCreateEvent调用了int 2EExported fn(): NtCreateEvent - Ord:005AhExported fn(): ZwCreateEvent - Ord:02E2h:77F83219 B81E000000         mov eax, 0000001E:77F8321E 8D5424

最近看到了一个模拟LoadLibrary的代码,其中有这么一段 if(g_bIsWinNT) ...{   // === Windows NT DLL Loading (supports shared sections) ===   if(svMappingName!=NULL) ...{    hmapping=OpenFileMapping(FILE_MAP_WRITE,TRUE,sv

--------------------------------------------------------------------------------Writing Your Own Packer - by BigBoote --------------------------------------------------------------------------------In

    之前我写过一篇利用SEH异常清硬件断点,看来真的是有矛就有盾啊,发现了一篇英文文章,专门讲如何anti_anti_hardware_breakpoint(很拗口吧?翻译成中文就是如何对付那些防止我们下硬件断点的程序).Chapter 1Hardware breakpoint    Hardware breakpoints or BPM(Breakpoint on Memory)

    出处: http://www.codeguru.com/Cpp/W-P/system/devicedriverdevelopment/article.php/c8035/    Most texts that describe Windows NT system calls keep many of the important details in the dark. This lea

    怎么感觉自己在做病毒呐?最近对于悄悄地干坏事比较感兴趣,那么我离病毒还差什么呐?自定位的代码有了,但是书写一个自定位代码无疑是个非常麻烦的事情,所以我想或许我还需要自己完成LoadLibrary做的工作,这样可以达到代码隐藏的目的,也不会破坏把软件工程奉为圭臬的我的审美观。然后是尽量隐藏自己，这个隐藏的手段太多了，慢慢来吧，加油~至于传播和破坏倒不是我特别关心的，希望不要抓我。   

有些壳, 如 ExeCrypter 2.2.x 用 OpenProcess("CSRSS.EXE") 的方法来检测 OD.其原理如下:普通进程是没有 SeDebugPrivilege 的,  这时 OpenProcess(系统进程) 不能成功.但用 OD 调试时, OpenProcess(系统进程) 成功, 壳利用这一点来检测 OD.我们先来看两个例子.第一个例子test.exe=========

    在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过windows来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由VirtualAlloc分配的内存.    经典的代码是这样的                      call delta                  ;/

    SEH("Structured Exception Handling"),即结构化异常处理.是操作系统提供给程序设计者的强有力的处理程序错 误或异常的武器.在VISUAL C++中你或许已经熟悉了_try{} _finally{} 和_try{} _except {} 结构,这些并不是 编译程序本身所固有的,本质上只不过是对windows内在提供的结构化异常处理的包装.    发生异常

代码的远程调用涉及到以下技术难点1.代码的拷贝:DWORD CodeSize = 0;DWORD CodeStart = 0;_asm...{   mov eax, _end   sub eax, _begin   mov CodeSize, eax    mov eax, _begin   mov CodeStart, eax   jmp _end_begin:   //此处是具

我们在使用和安装Windows程序时，有时会看到以“2052”、“1033”这些数字为名的文件夹(如Office)，这些数字似乎和字符集有关，但它们究竟是什么意思呢？研究这个问题的同时，又会遇到其它问题。我们会谈到Windows的内部架构、Win32 API的A/W函数、Locale、ANSI代码页、与字符编码有关的编译参数、MBCS和Unicode程序、资源和乱码等，一起经历这段琐碎细节为主，间