摘要: 依稀记得第一次接触Hook的概念是在周伟民先生的书中-><<多任务下的数据结构与算法>>,当时觉得Hook很奇妙,有机会要学习到,正好近段日子找来了MiniHook,就一起分享一下。 本篇文章是在x64下测试与分析jmp+offset类型的Hook,并且逆推测出热补丁的简单用法,MinHook它的中 阅读全文
posted @ 2017-09-24 19:29 _Flame 阅读(2929) 评论(2) 推荐(1) 编辑
摘要: 依稀记得第一次接触Hook的概念是在周伟民先生的书中-><<多任务下的数据结构与算法>>,当时觉得Hook很奇妙,有机会要学习到,正好近段日子找来了MiniHook,就一起分享一下。 本篇文章是在x64下测试与分析jmp+offset类型的Hook,并且逆推测出热补丁的简单用法,MinHook它的中 阅读全文
posted @ 2017-09-19 22:30 _Flame 阅读(912) 评论(4) 推荐(4) 编辑
摘要: 今天写驱动用到UNICODE_STRING,就在Ring3层抠了一些源代码,学习一下,不多说了上代码了 阅读全文
posted @ 2017-08-15 22:47 _Flame 阅读(486) 评论(0) 推荐(1) 编辑
摘要: 有处错误在sysenter在内核处理例程是_KiFastCallEntry,int2e是_KiSystemService,这个是图有点这里的错误 阅读全文
posted @ 2018-06-24 17:20 _Flame 阅读(229) 评论(0) 推荐(0) 编辑
摘要: 声明:这里只看重要的调用信息和为什么这样做,其他的就不看了 APC(Asynchronous procedure call)异步程序调用,在NT中,有两种类型的APCs:用户模式和内核模式。 用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APC 阅读全文
posted @ 2018-06-14 14:16 _Flame 阅读(944) 评论(0) 推荐(0) 编辑
摘要: 分享一下自己的windbg命令大全和自己的一张PE头标识图 注:windbg命令大全来自于看雪某位前辈 下面是下载链接 https://i.cnblogs.com/Files.aspx 也可以到我的文件里下载 部分截图 阅读全文
posted @ 2018-05-31 16:06 _Flame 阅读(221) 评论(0) 推荐(0) 编辑
摘要: 前两天面试,一位面试官老师提到了RING3到RING0的跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到Crea 阅读全文
posted @ 2018-05-27 23:55 _Flame 阅读(357) 评论(0) 推荐(0) 编辑
摘要: 曾经想着做个自己的主动防御项目,就是监控而已,实现RING3通信,各方参考学习,想着HOOK 来着 但是有一次知道了无HOOK的方式,感觉这挺方便呀 还是微软承认的函数,那我就实现一套监控的方案,考虑到逆向分析的话就准备后面 有事没事空闲了就去尽量实现HOOK的方式,希望一切顺利,少蓝屏几次。谢谢胡 阅读全文
posted @ 2018-05-27 00:55 _Flame 阅读(1862) 评论(0) 推荐(0) 编辑
摘要: 在分类文件中 如下 https://i.cnblogs.com/Files.aspx 阅读全文
posted @ 2018-05-12 22:10 _Flame 阅读(305) 评论(0) 推荐(0) 编辑
摘要: 汇编真的挺有意思的,整理出了以前的学习的基本知识,为了图快都拿的书的截屏测试代码,但是我亲测有效,放心学习之,学汇编,除了这些,上看雪 搜索玩命,看他的代码呗 2018.5.7 SHL 指令(逻辑左移)把目的操作数内的每位左移,以0填充最低位。SHL 指令的一个最重要的应用就是用于实现与2 的次幂的 阅读全文
posted @ 2018-05-07 00:46 _Flame 阅读(1342) 评论(0) 推荐(0) 编辑
摘要: 涉及到的文章例子大都测试有效 字符串概念 基本字符串操作指令: CMPSB有个缺陷是比较字符串一定要长度相同,不等就是0填充还有个CMPS注意就好CMPSB的例子: SCASB,SCASW 和SCASD 指令把ALAX/EAX 中的值同由EDI寻址的目标内存中的字节字或双字相比较。,这些指令在一个长 阅读全文
posted @ 2018-05-07 00:36 _Flame 阅读(600) 评论(0) 推荐(0) 编辑
摘要: Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适 阅读全文
posted @ 2018-05-07 00:26 _Flame 阅读(4562) 评论(0) 推荐(2) 编辑
摘要: 自己期待一下我的网络驱动笔记 笑哭。。 阅读全文
posted @ 2018-04-20 00:11 _Flame 阅读(150) 评论(0) 推荐(0) 编辑