bootloader编写
exchen 8年前 (2016-08-01) 4821浏览 0评论
nasm boot.asm -o boot.bin org 07c00h ; 告诉编译器程序加载到7c00处 mov ax, cs mov ds, ax m...
exchen 8年前 (2016-08-01) 4821浏览 0评论
nasm boot.asm -o boot.bin org 07c00h ; 告诉编译器程序加载到7c00处 mov ax, cs mov ds, ax m...
exchen 8年前 (2016-08-01) 4412浏览 0评论
使用NtQuerySystemInformation来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块 NTSTATUS Status; PUCHAR BaseAddress = NULL; ...
exchen 8年前 (2016-06-16) 4280浏览 0评论
一. vmware 设置 1. 添加串口 2.选择输出到命名管道 3. 命名管道名称 \\.\pipe\com_1, 该端是服务器, 另一端是虚拟机 二. 系统设置 以管理员权限运行cmd, 输入以下命令 bcdedit /copy {curr...
exchen 11年前 (2014-05-04) 4415浏览 0评论
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include <wi...
exchen 11年前 (2014-01-19) 4625浏览 0评论
#include <Windows.h> #include <TlHelp32.h> int InjectDllWithApc(char DllFullPath[MAX_P...
exchen 11年前 (2013-12-27) 4279浏览 0评论
在内存中读取函数的ShellCode并执行 下面是一个例子,实现的效果是将fun1函数的十六进制读取出来,在内存中将str1的地址改成str2,分配一块内存,将改好的函数的ShellCode写入并执行。 // FunT...
exchen 12年前 (2013-01-10) 4327浏览 0评论
1、首先获取Kernel32.dll的基址。 2、从Kernel32的导出表里获取LoadLibraryA和GetProcAddress的地址。 3、调用LoadLibrary和GetProcAddress操作API函数。 4、将代码转成十六进制,定...
exchen 12年前 (2012-10-25) 4707浏览 0评论
开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATU...
exchen 13年前 (2011-08-01) 4320浏览 0评论
1.字符串查看 da esp-20 //显示ansi字符串 du esp-20 //显示ansi字符串 db esp-20 dd esp-20 dt SYSTEMTIME //查看结构体 dt ole32!SYSTEMTIME 01960...
exchen 13年前 (2011-07-27) 4660浏览 0评论
在Win7下默认DbgPrint输出信息后,使用DbgView看不到内容。 新建一个reg文件,双击导出就行了。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\Curr...
exchen 13年前 (2011-07-16) 4540浏览 0评论
用CreateFile为例子,讲解一下Ring3下的Inline Hook API,基本原理很简单 1、获取CreateFile函数的地址 2、读取CreateFile函数的前8个字节 3、将CreateFile函数的前8个字节,修改成mov eax...
exchen 13年前 (2011-06-24) 4232浏览 0评论
已经快三年没搞驱动了,前阵子由于工作的需要,看了看自己以前的百度老博客,玩了玩内核Hook,没想到蓝屏了。 这下没办法,得用Windbg调试下。我机器上装的是VirtualBox虚拟机。Windbg+VirtualBox调试内核,还真没玩过。 以前玩...