sunwear的专栏

作者:Leven只对Acrobat Reader 5.1有效在一个xdf文件里放入一个超长的段，会造成溢出问题代码001B:2200E249  55                  PUSH      EBP001B:2200E24A  8BEC                MOV       EBP,ESP001B:2200E24C  81EC40010000        SUB     

记得安全焦点上曾经有一个帖子问到过相关的问题，说是缺少livekd.sys。主要就是由于设置不对导致livekd无法使用。有些人是直接把livekd.exe放到windbg目录下运行，当然没有符号文件白费的，今天又有个人遇到了同样的问题。其实设置起来很简单。第一步当然要保证livekd在Debugging Tools for Windows的安装目录下。然后右击我的电脑→属性→高级→环境变量。在用

form:http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.htmlLast week when I was testing the latest version of RootkitRevealer (RKR) I ran a scan on one of my systems and was sh

作者:czywww.chinansl.com/czy/reg.rar驱动加载文件代码在最后win9x内核后门开发技术之注册表保护                                                         czy82于03.06;在f-king这儿第一次发出来,其实在隐藏注册表键值这儿还是有小问题;注册表保护操作,隐藏注册表键值,保护特殊键值,主键不被删除;开发

原文: http://www.blogcn.com/user17/pjf/blog/4213145.htmlpjf(jfpan20000@sina.com)    有来信询问进程结束的有关问题，下面就这个问题简单讨论一下（下面的讨论基于2000，其他NT系统也类似）。    首先看看一个应用程序想要强制结束另一个进程所要做的事：首先获得目标的进程ID，接着利用OpenProcess获取进程句柄（确

胶印的盗版书好像还220元呢。。。一流的深入的开发人员指导材料，带你进入WINDOWSN核心技术，包含Windows .NET Server 2003, Windows XP, 和 Windows 2000。本书作者是著名的WINDOWS深入分析专家David Solomon 和 Mark Russinovich与Microsoft Windows .NET Server 产品开发组合著，本书包含

/*有些ROOTKIT通过更改PsActiveProcess链表或相关Native API来隐藏进程.下面这个程序通过直接读取KiWaitInListHead和KiWaitOutListHead(windows的dispatcher所使用的内核链表),来列出隐藏的进程.技术细节请参照Jan K. Rutkowski的原文http://www.blackhat.com/presentations/b

作者是 陆麟 是2000年写的了  呵呵  内核类的文章沉寂了好长一段时间,再度开写.今天写的乃是未公开的WIN2000的EPROCESS结构. EPROCESS乃是NT进程的核心.该结构定义了所有进程相关的数据.知道了该结构,NT的核心机密就公开了一半.下面乃是我于7.26挖到凌晨的奥秘.:)))看哪.大补啊.:DDD 该结构仅在英文WIN2000零售版上验证通过.如果以后WIN2000有了SE

eyas在xhook中提到了在hook的时候，能获取指令长度是一件很有意义的事。下面是wjl@smth写的一个获取指令长度的函数：/*  使用下面的函数可以“反汇编”一条指令，  可以得到opcode 和 opdata， 以及完整指令的长度  函数返回1后，disasm_len就是指令的长度*/#define C_66           0x00000001       // 66-prefix

avserve病毒初步分析作者：mejy【BCG】【FCG】【DFCG】【NUKE】【IPB】声明：本文仅供研究使用，任何人利用本文涉及的技术造成的不当后果由自己承担！由于本人第一次分析病毒，很多不正确的地方请各位大侠指正！！！本人第一次写本文时尚未有官方资料出来！有些地方肯定不是很准确！请谅解欢迎指正！反汇编会发现输入表只有几个简单的函数。004027CE > B8 DD274000 MOV E

tombkeeper#whitecell.orgMydoom.a的后门是以dll形式存在的，通过修改注册表相应键值，将自己加载到资源管理器的进程空间中。正常情况下，注册表应该是这个样子的：HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32       REG_EXPAND_SZ   %Syste

tombkeeper#whitecell.org;在注册表中写入自启动项:00401250 55                      push ebp:00401251 89E5                    mov ebp, esp:00401253 81ECAC030000            sub esp, 000003AC:00401259 56             

我们知道group.qq.com这里可以通过关键字和群号来查询群，之后可以查询群的信息。有些群是未公开，所以查看不了。因为这个群有些重要，所以我就想办法要看群内的人。结果还真找到了一个方法。查询结果中包含群名字 人数(男/女) 是否公开 加入条件 详细资料 加入该群 。我们那个群现在是未公开，需验证。我们就点那个加入该群。会连接到 http://group.qq.com/cgi-bin/group