- 博客(43)
- 收藏
- 关注
原创 win 10 64 14393遍历进程VAD
typedef struct _SEGMENT{ /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT] [+0x000] ControlArea : 0xffffd18b3276d370[Type:_CONTROL_AREA *] [+0x008] TotalNumberOfPtes : 0xa[Typ
2017-04-01 08:24:31
3291
原创 VT调试器 X64
想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助Tesla.Angela有人吗?cvcvxkviphacksxppKalong 以及国外友人asamy以上排名不分先后这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体做个修改 才可以正常运行代码部分:这
2016-12-30 12:33:47
8130
原创 几种枚举窗口的方法(包括猥琐的你懂得)
老生常谈的枚举那些就 不说了说一些 很少有人处理的POINT pt;GetCursorPos(&pt); hd=WindowFromPhysicalPoint(pt); if (hd!=NULL) { GetWindowTextA(hd, text, 260); printf("text :%s \n",text);
2016-05-26 12:39:58
6475
原创 WIN7X64自定义硬断
我只是 截了 我代码中的 关键片段~至于 详细的 你们自己想VOID T_KiRestoreDebugRegisterState(){ PEPROCESS Process=NULL; PETHREAD Thread=NULL; PPROCESS_List PlIST = NULL;; PTHREAD_dr_List
2016-05-23 17:31:33
1808
原创 这次windows更新补丁的锅
在逆几个内核函数的时候~原本在虚拟机内跑的飞起的代码 真机直接GG我自然百思不得其解,我虚拟机和真机 都是用的同一个镜像 还是从微软官方下载的纯净7601 sp1系统 虚拟机内正常 真机就GG 我就对着 IDA和虚拟机看!eprocess结构正常没变动 ethread结构从成员cid上面就多了不知干啥的八字节。。 于是我就卸载了 真机上的 100多个补丁 这可也能是部分客户 机器蓝屏的原因吧
2016-05-09 17:59:55
691
原创 简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿 CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存 反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
2016-05-09 13:22:56
15635
原创 X64 HOOK IDT
kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64)) +0x000 OffsetLow : 0x44c0 +0x002 Selector : 0x10 +0x004 IstIndex : 0y000 +0x004 Reserved0 : 0y0
2015-11-06 23:40:50
4030
原创 逆WIN7X64内核调试之NTCreateDebugObject
NTSTATUS __fastcall proxyNtCreateDebugObject( OUT PHANDLE DebugObjectHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN ULONG Flags
2015-09-28 17:01:06
3369
1
原创 逆WIN7X64内核调试体系之NtDebugActiveProcess
NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){ PMY_OBJECT_TYPE object; PMY_OBJECT_TYPE debugobject; OBJECT_HANDLE_INFORMATION
2015-09-27 16:55:46
4012
原创 做X64 shadow SSDT HOOK引擎那些事儿~~
废话不多少 我做HOOK引擎遇到的事儿~~~先看一下代码 ,里面有详细地址.text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near ; DATA XREF: .text:FFFFF97FFF0D20E0o.text:FFFFF97FFF072744
2015-09-23 22:59:13
2527
原创 普及X64 ssdtshadow inline HOOK
序:我只想说~~再不发帖老大就 不搭理我了~~~原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o:各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~于是 开始自己搞:mad::mad:
2015-09-22 02:20:54
3146
原创 一字节anti创建进程线程等回调
很久没有发帖子了~~~ 上次一个哥们 一字节anti callbacks 其实还有更多地方哦~~~但是这样 还是不够的 这次 一字节 anti 创建进程线程回调~~~pspexitthread:loc_140355BB8:xor r8d, r8dxor edx, edxmov rcx, rdical
2015-09-14 18:50:44
1353
原创 【原创】游戏csol2 X64反直接附加运行游戏
0088B000 > 56 push esi0088B001 50 push eax basethaedinitThunk0088B002 53 push ebx0088B003 E8 01000000 call 0088B0090088B008
2015-09-11 02:00:16
1058
原创 【原创】X64 枚举 内核 符号~~~~
typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(IN ULONG SystemInformationClass,OUT PVOID SystemInformation,IN ULONG Length,OUT PULONG ReturnLength);typedef unsigned long DWORD;
2015-09-04 16:23:00
2756
原创 【原创】获取指定index的 OBJECTTYPE
ULONG64 onlythisfile_SreachFunctionAddress(ULONG64 uAddress, UCHAR *Signature, ULONG addopcodelength, ULONG addopcodedatasize){ULONG64 index = 0;UCHAR *p = 0;ULONG64 uRetAddress = 0;UL
2015-08-27 14:10:33
617
原创 【原创】remove some info from pspcidtable WIN7X64
不废话 直接防码 补充代码有网了:【分享】x64 antidebug 不触发PG http://bbs.pediy.com/showthread.php?p=1385028#post1385028有个BUG 如果 移出的目标有线程退出 那么 我的 系统线程就挂了 目测是枚举函数的 问题 这个 我就 不解决了 退出不蓝屏因为 有 了新的 解决办法 这个 就扔掉了
2015-08-27 09:03:48
1333
原创 x64 antidebug 不触发PG 补充代码
因为搬家了 还有 板砖很忙 没办法 工头都懂得的~~~~先说antiantidebug都知道 32位的驱动保护 不用VT说白了就是 HOOK过来 HOOK过去 比的是谁的 钩子深 谁的 钩子更多~~~~然而 64位呢 很多保护 例如TP/HP/HS 基本就是驱动几个callbacks 应用层 几个钩子 反调试 模拟一场等等 我的 PASS方法呢 例如TP钩子 KIuse
2015-08-05 12:31:10
3228
原创 寻找0XCC软件断点
配合反汇编引擎效果出奇;Here is what I see in hacker defense testing 0xCC software breakpoints;I write it with FASM assemblerinclude 'win32ax.inc'use32entry startsection '.text' code readable exec
2015-04-27 16:13:46
1020
原创 通用WIN32平台的shellcode
LoadLibraryExA_Digest equ 0xc0d83287LoadLibraryA_Digest equ 0x0C917432RegCreateKeyA_Digest equ 0x2B367128RegSetValueExA_Digest equ 0xD8C0FEAARegCloseKey_Digest equ
2015-04-27 16:13:35
1149
原创 病毒重定位技术1
include 'win32ax.inc'use32.codestart:call $+5ca:pop eaxlea eax,[eax+sdata-ca].end startsection '.data' readable writeablesdata db "fuckyoursister!",0
2015-04-27 16:13:08
747
原创 2014过360栈回溯
360为了XX黑加白出的栈回溯技术当然现在还会杀DLL 不过 断链动态解密一下应该还是没有问题的博客新开,先扔出来一点儿.486p.model flat,stdcalloption casemap:noneassume fs:nothinginclude windows.incinclude user32.incincludelib us
2015-04-27 16:12:43
680
原创 自己前几天用MASM写的一个远控
最先是在看雪发的 新开空间我也没啥东西 只能拿这个凑数了;作者:落笔飞花笑百生;日期:2014/12/20;用处:练手;写一个程序虽然很烂但是确实能学到很多,用汇编写程序能逼迫自己去学习以前高级语言中容易忽略的东西虽然还是不够。;但是至少脱离了只能用别人封装好的库来写程序的恶性循环;这个程序也没有了写下去的意思,该解决的都解决了我实在想不出来再写他具体能得到什么
2015-04-27 16:11:07
1592
1
原创 2014简单绕过某60父进程查杀
;落笔飞花笑百生;2014.12.9;过360父进程一个弱弱的方法;过360启动项.386.model flat,stdcalloption casemap:noneinclude windows.incincludelib kernel32.libinclude kernel32.incinclude user32.incinclude
2015-04-27 16:10:43
1869
1
原创 标准的一份栈回溯代码
include 'win32ax.inc'use32entry startstart:invoke getmodule,"ntdll.dll"invoke getproc,eax,"RtlWalkFrameChain"mov dword [walk],eaxinvoke walk,fuck,100,0mov dword[stackcount],eaxmo
2015-04-27 16:09:37
1156
原创 这个dll_CopycatAndHide 的masm源代码
;2015/1/7;作用:简单的断去链表的方法 实用 也可以达到隐藏的效果 成功返回1失败返回0 ;失败原因:例如内存分配不成功等等 一般是在过程中出错;esp+8传入 DLL的句柄dll_CopycatAndHide proc dllhandle:dword LOCAL SizeOfImage,lpBackMem,oldprotect,AddressOfEntr
2015-04-27 16:08:59
623
原创 HOOK api ret address
include 'win32ax.inc'use32entry startsection '.text' code readable executablestart:invoke loadlib,dllinvoke getfunc,eax, fucmov dword [funcaddress],eaxinvoke VirtualProtect,dwor
2015-04-27 16:08:55
526
原创 去年学习汇编的时候写的内存LOADer
.386.model flat,stdcalloption casemap:noneinclude windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.libcheckcodesum proto n:dword,z:dwordw
2015-04-27 16:07:58
828
1
原创 第一个安卓JNI例子
C++的RTTI技术分析 编译器是vc2013@VfTable包含ClassVfTable,类的虚表指针vfptr指向@VfTable+4的位置,即vfptr=@VfTable+4=ClassVfTable我是为了统一一下才这样表示的.在类虚表位置-4的地方,也就是@VfTable-4.指向CompleteObjectLocator结构.现在对每一个结构进行简单的解释.
2015-04-27 16:05:48
466
转载 C++的CTTI技术分析
C++的RTTI技术分析 编译器是vc2013@VfTable包含ClassVfTable,类的虚表指针vfptr指向@VfTable+4的位置,即vfptr=@VfTable+4=ClassVfTable我是为了统一一下才这样表示的.在类虚表位置-4的地方,也就是@VfTable-4.指向CompleteObjectLocator结构.现在对每一个结构进行简单的解释.
2015-04-27 16:05:01
705
原创 第一次接触vc编程,顺便写一个过300英雄od附加的检测的小例子
VC很多年前我曾下载又删除过无数遍,最后接触了java 又接触了asm 当然 写程序 完全这两个充当主力无奈现在VC是主流 我下载了vs2010版 写了一个控制台的 例子 od加载 垃圾代码有很多 我也不知道如何去调整。。汇编写惯了= =LPVOID hookaddr=(LPVOID)0x628500F4 ;LPVOID hookaddr2=(LPVOID)0x628
2015-04-27 16:04:08
1206
原创 获取SSDT服务表数据
#include typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // SSDT (System Service Dispatch Table)的基地址 PULONG ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用
2015-04-27 16:01:54
643
原创 VS2010中 配置WDK的方法其实很简单= =
属性管理器->右键项目名字|win32新建项目属性表然后 展开这个项目就有一个.props为后缀的文件把下面的内容修改好 也就是路径改成你的WDK安装地址就行 然后 覆盖过去 重启就可以编译了 D:\wdk\bin\x86;$(ExecutablePath)
2015-04-27 16:00:53
2788
1
原创 SSDTHOOK
#include "ntddk.h"void PageProtectOff();void PageProtectOn();#pragma pack(1)typedef struct ServiceDescriptorEntry {unsigned int *ServiceTableBase;unsigned int *ServiceCounterTableBase;
2015-04-27 15:59:36
542
转载 控制台中使用settimer
#include "stdafx.h"#include"windows.h"#include"stdio.h"void CALLBACK TimerProc(HWND hWnd,UINT nMsg,UINT nTimerid,DWORD dwTime) { printf("%s","abc"); }void main() { SetT
2015-04-27 15:56:52
708
原创 驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载
#include "ntddk.h"//#include "Ntifs.h"//PVOIDNTSTATUS PsSetLoadImageNotifyRoutine( PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);NTSTATUS PsRemoveLoadImageNotifyRoutine(__in PLOAD_IMAG
2015-04-27 15:55:38
1751
原创 微软的ImageLoad
PLOADED_IMAGE ImageLoad( _In_ PSTR DllName, _In_ PSTR DllPath ); 第一个就是DLL名字第二个是DLL目录 Minimum supported client Windows XP [desktop apps only] Minimum supported server Windows Serv
2015-04-27 15:55:04
607
转载 驱动 进程回调中修改导入表插入DLL (只做了一点儿修正不算原创)
//虽然现在对很多程序的注入都一点儿问题 ,不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这里回调函数
2015-04-27 15:51:58
941
原创 VEH +硬件断点 HOOK
// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "stdafx.h"#include "windows.h"#include #include #include #pragma comment(lib, "d3d9.lib")#pragma comment (lib,"d3dx9.lib")#pragma comment
2015-04-27 15:51:05
7756
原创 拦截驱动加载
#include "ntddk.h"#include typedef struct _IMAGE_DOS_HEADER { // DOS .EXE headerWORD e_magic; // Magic numberWORD e_cblp; // Bytes on last
2015-04-27 15:50:40
2206
原创 IDT HOOK
#include "ntddk.h"#include "windef.h"#pragma pack(2)typedef struct _IDTR{USHORT numberofidt;ULONG highaddress;}IDTR ,*PIDTR;#pragma pack()typedef struct _KTRAP_FRAME{UL
2015-04-27 15:48:35
845
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人