Rootkit/驱动底层

exchen 8年前 (2016-08-01) 4861浏览 0评论

nasm boot.asm -o boot.bin org 07c00h ; 告诉编译器程序加载到7c00处 mov ax, cs mov ds, ax m...

exchen 8年前 (2016-08-01) 4453浏览 0评论

使用NtQuerySystemInformation来检索加载的模块，从加载模块里面搜索出ntoskrnl.exe模块 NTSTATUS Status; PUCHAR BaseAddress = NULL; ...

exchen 8年前 (2016-06-16) 4312浏览 0评论

一. vmware 设置 1. 添加串口 2.选择输出到命名管道 3. 命名管道名称 \\.\pipe\com_1, 该端是服务器, 另一端是虚拟机 二. 系统设置 以管理员权限运行cmd, 输入以下命令 bcdedit /copy {curr...

exchen 11年前 (2014-05-04) 4457浏览 0评论

今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include <wi...

exchen 11年前 (2014-01-19) 4663浏览 0评论

#include <Windows.h> #include <TlHelp32.h> int InjectDllWithApc(char DllFullPath[MAX_P...

exchen 11年前 (2013-12-27) 4318浏览 0评论

在内存中读取函数的ShellCode并执行 下面是一个例子，实现的效果是将fun1函数的十六进制读取出来，在内存中将str1的地址改成str2，分配一块内存，将改好的函数的ShellCode写入并执行。 // FunT...

exchen 12年前 (2013-01-10) 4359浏览 0评论

1、首先获取Kernel32.dll的基址。 2、从Kernel32的导出表里获取LoadLibraryA和GetProcAddress的地址。 3、调用LoadLibrary和GetProcAddress操作API函数。 4、将代码转成十六进制，定...

exchen 12年前 (2012-10-25) 4745浏览 0评论

开发过程中的小记录 void ReadFile_Port() { HANDLE hFile=NULL; IO_STATUS_BLOCK ioStatus; NTSTATU...

exchen 13年前 (2011-08-01) 4358浏览 0评论

1.字符串查看 da esp-20 //显示ansi字符串 du esp-20 //显示ansi字符串 db esp-20 dd esp-20 dt SYSTEMTIME //查看结构体 dt ole32!SYSTEMTIME 01960...

exchen 13年前 (2011-07-27) 4710浏览 0评论

在Win7下默认DbgPrint输出信息后，使用DbgView看不到内容。 新建一个reg文件，双击导出就行了。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\Curr...

exchen 13年前 (2011-07-16) 4578浏览 0评论

用CreateFile为例子，讲解一下Ring3下的Inline Hook API，基本原理很简单 1、获取CreateFile函数的地址 2、读取CreateFile函数的前8个字节 3、将CreateFile函数的前8个字节，修改成mov eax...

exchen 14年前 (2011-06-24) 4264浏览 0评论

已经快三年没搞驱动了，前阵子由于工作的需要，看了看自己以前的百度老博客，玩了玩内核Hook，没想到蓝屏了。 这下没办法，得用Windbg调试下。我机器上装的是VirtualBox虚拟机。Windbg+VirtualBox调试内核，还真没玩过。 以前玩...