Rootkit/驱动底层

bootloader编写

bootloader编写

exchen 2年前 (2016-08-01) 288浏览 0评论

nasm boot.asm -o boot.bin org 07c00h ; 告诉编译器程序加载到7c00处 mov ax, cs mov ds, ax m...

获取ntoskrnl的基址

获取ntoskrnl的基址

exchen 2年前 (2016-08-01) 216浏览 0评论

使用NtQuerySystemInformation来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块 NTSTATUS Status; PUCHAR BaseAddress = NULL; ...

VMware+Win7+windbg 双机调试

VMware+Win7+windbg 双机调试

exchen 2年前 (2016-06-16) 215浏览 0评论

一. vmware 设置 1. 添加串口 2.选择输出到命名管道 3. 命名管道名称 \\.\pipe\com_1, 该端是服务器, 另一端是虚拟机 二. 系统设置 以管理员权限运行cmd, 输入以下命令 bcdedit /copy {curr...

Ring3下实现进程保护,不用hook

Ring3下实现进程保护,不用hook

exchen 4年前 (2014-05-04) 212浏览 0评论

今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include <wi...

在内存中读取函数的ShellCode并执行

在内存中读取函数的ShellCode并执行

exchen 5年前 (2013-12-27) 224浏览 0评论

在内存中读取函数的ShellCode并执行 下面是一个例子,实现的效果是将fun1函数的十六进制读取出来,在内存中将str1的地址改成str2,分配一块内存,将改好的函数的ShellCode写入并执行。 // FunT...

编写ShellCode

编写ShellCode

exchen 6年前 (2013-01-10) 223浏览 0评论

1、首先获取Kernel32.dll的基址。 2、从Kernel32的导出表里获取LoadLibraryA和GetProcAddress的地址。 3、调用LoadLibrary和GetProcAddress操作API函数。 4、将代码转成十六进制,定...

ZwReadFile读TXT文件

ZwReadFile读TXT文件

exchen 6年前 (2012-10-25) 226浏览 0评论

开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATU...

WinDbg实战调试命令笔记

WinDbg实战调试命令笔记

exchen 7年前 (2011-08-01) 268浏览 0评论

1.字符串查看 da esp-20 //显示ansi字符串 du esp-20 //显示ansi字符串 db esp-20 dd esp-20 dt SYSTEMTIME //查看结构体 dt ole32!SYSTEMTIME 01960...

Win7下使用DbgPrint不输出的问题

Win7下使用DbgPrint不输出的问题

exchen 7年前 (2011-07-27) 263浏览 0评论

在Win7下默认DbgPrint输出信息后,使用DbgView看不到内容。 新建一个reg文件,双击导出就行了。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\Curr...

Ring3下Inline Hook API

Ring3下Inline Hook API

exchen 7年前 (2011-07-16) 220浏览 0评论

用CreateFile为例子,讲解一下Ring3下的Inline Hook API,基本原理很简单 1、获取CreateFile函数的地址 2、读取CreateFile函数的前8个字节 3、将CreateFile函数的前8个字节,修改成mov eax...