老裴

***    PEid插件——Generic OEP Finder 原理分析    ***   PEid的这个小插件用了很久了，一直觉得功能不错，准确率也挺高的，自己在写壳的过程中也曾尝试避开其检测，但一直没有成功，于是抽了些时间看看它的实现原理，这才恍然大悟。   下面是这个插件的一级输出函数：10001870 ; Exported entry   1. DoMyJob1000187010001

·flong 发表于 2006-11-24 0:16:00 最近对后门产生了很浓厚的兴趣，上网与各位高手讨论的时候，有人提到了“黑客之门”很厉害，也算是推出来的比较成功的一个后门，于是上网下载了一个研究研究，顺便也学习学习其中的方法与技巧。不敢独享，分享于此，同时希望高手们指教。    “黑客之门”介绍    黑客之门采用的目前一些先进的后门技术，它只有一个Dll文件，通过感染系统

比起用Win32SDK写的程序，要分析MFC应用程序要麻烦不少。在前者，只要找到注册窗口类的地方就知道其WinProc的位置。那里是程序的控制中心，只要顺藤摸瓜就可以找到你感兴趣的地方。对于用MFC写的程序，这一切都变得复杂起来了。这时，所有的消息都是通过一套复杂的机制来完成分发的。他们是通过分发数据表来找到最终函数地址的. 详细请参阅M

加壳技术-DRx解码阻止调试这些代码是从我逆向出hying外壳原码得来,有些描述不准确,凑合看吧;//////////////////////////////////;//drx 解码        Call    Push_drx_handlerDrx_handler    Proc NearPframe        = Dword    Ptr  4Pcontext        = Dwo

=====[ 1. 内容 ]============================================ 1. 内容 2. 介绍 3. 文件   3.1 NtQueryDirectoryFile   3.2 NtVdmControl 4. 进程 5. 注册表   5.1 NtEnumerateKey   5.2 NtEnumerateValueKey 6. 系统服务和驱动 7. 挂钩和

                                            He4Hook 使用指南linux2linux  写于 2005/7/25[介绍]He4Hook是一个老牌的 Russian Rootkit，但是由于一些新的rootkit出现，再加上其在功能上的单一--文件控制（隐藏或保护），He4Hook在国内的使用不是很普遍。所以无法找到一篇关于He4Hook使用的文档。

总引篇::rT决定写这篇可以教坏小孩子的文章的原因是rootkit实在写的郁闷了，出来散散心。c%©CVC电脑病毒论坛 -- 中国毒客的快乐天地　　2(进程篇::Xm`MPb实话说，我觉得你都drv了，还他妈什么进程，干脆都ring0不好吗？对于icesword不使用从可爱的swap链上找_人我表示感谢，但是不代表其他anti不会，单说icesword(以下称is)用PspCidHandleTab

程序自删除方法大总结 icyfoxlovelace/冰狐浪子 　　程序的自删除早已经不是什么新鲜的话题了，对于各位大虾来说是更是比较容易的事情，但想想自己刚学时遇到的种种错误，我觉得有必要把自己所知道的各种方法总结一下，希望对新手的学习能够有所帮助。程序的自删除广泛用于反安装程序最后的自删除（环保呀！），当然更多见于木马、病毒首次安装的自动销毁^*^，至于用于何种用途就看你自己啦！经典自删除说到程

作者：smokingroom日期：2005-04-12站点：www.programmerlife.com邮箱：smokingroom@sina.com前言：反跟踪调试技术对于Delphi程序员来说，似乎比较陌生。因为许多的技术，直接用Delphi语言似乎比较难以完成，而对汇编来说，则比较容易完成，因此，下面的代码用到了内嵌汇编语言。如果你看不懂也不要紧，因为已经经过测试，可以直接放进你的程序里面。

1.用RKU看一下SSDT和SSDTShadow，发现SSDT并没有被HOOK，SSDTShadow HOOK了5个调用：NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow想也不用想，肯定是为了防止其他软件找到他的窗口。解决方法：在TesSafe加载前先加载自己的驱动，备份这5