LYSHARK

摘要： GetTokenInformation 用于检索进程或线程的令牌(Token)信息。Token是一个数据结构，其包含有关进程或线程的安全上下文，代表当前用户或服务的安全标识符和权限信息。GetTokenInformation函数也可以用来获取这些安全信息，通常用于在运行时检查某个进程或线程的权限或安全信息。 阅读全文

摘要： 首先实现枚举当前系统中所有进程信息，枚举该进程的核心点在于使用`CreateToolhelp32Snapshot()`函数，该函数用于创建系统进程和线程快照，它可以捕获当前系统中进程和线程相关的信息（如PID、线程数量、线程ID等），在对这些信息进行处理后，可以获得很多有用的数据，如当前系统中所有正在执行的进程的信息列表，以及每个进程各自的详细信息（如CPU、内存占用量等）。 阅读全文

摘要： 创建新的进程是`Windows`程序开发的重要部分，它可以用于实现许多功能，例如进程间通信、并行处理等。其中，常用的三种创建进程的方式分别是`WinExec()`、`ShellExecute()`和`CreateProcessA()`，这三种创建进程的方式各有特点。如果需要创建简单进程或从其他程序启动新进程，可以使用`WinExec()`或`ShellExecute()`函数。如果需要对新进程进行更精细的配置，例如控制进程参数、指定安全级别、传递特定的命令和参数等，可以使用`CreateProcessA()`函数。 阅读全文

摘要： 在`Windows`操作系统中，每个进程的虚拟地址空间都被划分为若干内存块，每个内存块都具有一些属性，如内存大小、保护模式、类型等。这些属性可以通过`VirtualQueryEx`函数查询得到。该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于`Windows`操作系统中的`Task Manager`中的进程选项卡，可以显示出一个进程的内存使用情况、模块列表等信息。使用`VirtualQueryEx`函数，可以枚举一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个`MEMORY_BASIC_INFORMATION`结构体指针。它会返回当前内存块的基地址、大小、状态（`free/commit/reserve`）、保护模式等信息。 阅读全文

摘要： 动态内存补丁可以理解为在程序运行时动态地修改程序的内存，在某些时候某些应用程序会带壳运行，而此类程序的机器码只有在内存中被展开时才可以被修改，而想要修改此类应用程序动态补丁将是一个不错的选择，动态补丁的原理是通过`CreateProcess`函数传递`CREATE_SUSPENDED`将程序运行起来并暂停，此时程序会在内存中被解码，当程序被解码后我们则可以通过内存读写实现对特定区域的动态补丁。 阅读全文

摘要： Sunday 算法是一种字符串搜索算法，由`Daniel M.Sunday`于1990年开发，该算法用于在较长的字符串中查找子字符串的位置。算法通过将要搜索的模式的字符与要搜索的字符串的字符进行比较，从模式的最左侧位置开始。如果发现不匹配，则算法将模式向右`滑动`一定数量的位置。这个数字是由当前文本中当前模式位置的最右侧字符确定的。相比于暴力方法，该算法被认为更加高效。 阅读全文

摘要： KMP算法是一种高效的字符串匹配算法，它的核心思想是利用已经匹配成功的子串前缀的信息，避免重复匹配，从而达到提高匹配效率的目的。KMP算法的核心是构建模式串的前缀数组Next，Next数组的意义是：当模式串中的某个字符与主串中的某个字符失配时，Next数组记录了模式串中应该回退到哪个位置，以便继续匹配。Next数组的计算方法是找出模式串每一个前缀中最长的相等前缀和后缀，并记录下来它们的长度，作为Next数组中的对应值。在字符串匹配时，KMP算法从主串和模式串的开头开始逐个字符比较，若发现匹配失败，则根据Next数组中的值进行回退，从失配位置的下一位重新开始比较。这样回退的次数比暴力匹配方式要少得多，因此匹配效率得到了大幅提升。 阅读全文

摘要： CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测，并以此来判定特定程序内存是否发生了变化，如果发生变化则拒绝执行，通过此种方法来保护内存或磁盘文件不会被非法篡改。总之，内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。 阅读全文

摘要： CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测，并以此来判定特定程序内存是否发生了变化，如果发生变化则拒绝执行，通过此种方法来保护内存或磁盘文件不会被非法篡改。总之，内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。 阅读全文

摘要： CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法，校验算法可以通过计算应用与数据的循环冗余校验（CRC）检验值来检测任何数据损坏。通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测，并以此来判定特定程序内存是否发生了变化，如果发生变化则拒绝执行，通过此种方法来保护内存或磁盘文件不会被非法篡改。总之，内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。 阅读全文

摘要： MinHook是一个轻量级的Hooking库，可以在运行时劫持函数调用。它支持钩子API函数和普通函数，并且可以运行在32位和64位Windows操作系统上。其特点包括易于使用、高性能和低内存占用。MinHook使用纯汇编语言实现，在安装和卸载钩子时只需要短暂地锁定目标线程，因此对目标线程的影响非常小。 阅读全文

摘要： EAT（Export Address Table）用于修改动态链接库（DLL）中导出函数的调用。与`IAT Hook`不同，EAT Hook是在DLL自身中进行钩子操作，而不是修改应用程序的导入表。它的原理是通过修改DLL的导出函数地址，将原本要导出的函数指向另一个自定义的函数。这样，在应用程序调用DLL的导出函数时，实际上会执行自定义的函数。与IAT不同是EAT存放的不是函数地址，而是导出函数地址的偏移，使用时需要加上指定Dll的模块基地址，当Hook挂钩之后，所有试图通过导出表获取函数地址的行为都会受到影响，EATHook并不会直接生效，它只能影响`Hook`之后对该函数地址的获取。 阅读全文

摘要： IAT（Import Address Table）Hook是一种针对Windows操作系统的API Hooking 技术，用于修改应用程序对动态链接库（DLL）中导入函数的调用。IAT是一个数据结构，其中包含了应用程序在运行时使用的导入函数的地址。IAT Hook的原理是通过修改IAT中的函数指针，将原本要调用的函数指向另一个自定义的函数。这样，在应用程序执行时，当调用被钩子的函数时，实际上会执行自定义的函数。通过IAT Hook，我们可以拦截和修改应用程序的函数调用，以实现一些自定义的行为，比如记录日志、修改函数参数或返回值等。 阅读全文

摘要： InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。 阅读全文

摘要： InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。首先我们来探索一下Hook技术是如何实现的，如下图所示是一个简单的弹窗程序，当读者点击测试弹窗按钮时则会弹出一个`MessageBox`提示窗口，本次实现目标很简单，通过向目标内注入一个DLL库，实现Hook挂钩住`MessageBox`弹窗，从而实现去除弹窗的目的； 阅读全文

摘要： SetWindowHookEx 是`Windows`系统的一个函数，可用于让一个应用程序安装全局钩子，但读者需要格外注意该方法安装的钩子会由操作系统注入到所有可执行进程内，虽然该注入方式可以用于绕过游戏保护实现注入，但由于其属于全局注入所以所有的进程都会受到影响，而如果想要解决这个问题，则需要在`DllMain()`也就是动态链接库开头位置进行判断，如果是我们所需操作的进程则执行该DLL模块内的功能，如果不是则自动跳过不执行任何操作即可实现指定进程的注入方式。 阅读全文

摘要： Session是`Windows`系统的一个安全特性，该特性引入了针对用户体验提高的安全机制，即拆分Session 0和用户会话，这种拆分`Session 0`和`Session 1`的机制对于提高安全性非常有用，这是因为将桌面服务进程，驱动程序以及其他系统级服务取消了与用户会话的关联，从而限制了攻击者可用的攻击面。由于`DLL`注入在`Session 0`中的注入机制不同于在用户会话中的注入机制，因此需要特别的考虑和处理。如果需要执行DLL注入，必须使用`过度级别安全`机制解决`Session 0`上下文问题，并且在设计安全方案时，必须考虑`Session 0`和`Session 1`之间的区别。 阅读全文

摘要： APC（Asynchronous Procedure Call）异步过程调用是一种`Windows`操作系统的核心机制，它允许在进程上下文中执行用户定义的函数，而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作，例如改变线程优先级或通知线程处理任务。在`APC机制`中，当某些事件发生时（例如文件IO，网络IO或定时器触发），这些事件将被操作系统添加到一个`APC队列`中，该队列绑定到执行线程。在下一次发生`ALERTABLE`的事件时（例如调用SleepEx或SignalObjectAndWait时），OS将弹出`APC函数`并在执行线程上下文中调用该函数，并在执行完毕后恢复线程执行。 阅读全文

摘要： 动态链接库注入技术是一种特殊的技术，它允许在运行的进程中注入DLL动态链接库，从而改变目标进程的行为。DLL注入的实现方式有许多，典型的实现方式为远程线程注入，该注入方式的注入原理是利用了`Windows`系统中提供的`CreateRemoteThread()`这个API函数,该函数第四个参数是准备运行的线程，我们将`LoadLibrary()`函数填入其中，这样就可以执行远程进程中的`LoadLibrary()`函数，进而将我们自己准备的DLL加载到远程进程空间中执行，DLL在被装载后则会自动执行初始化部分。 阅读全文

摘要： 在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了`VA`，`RVA`，`FOA`三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。VA（Virtual Address，虚拟地址）：它是在进程的虚拟地址空间中的地址，用于在运行时访问内存中的数据和代码。VA是相对于进程基址的偏移量。在不同的进程中，相同的VA可能映射到不同的物理地址。RVA（Relative Virtual Address，相对虚拟地址）：它是相对于模块基址（Module Base Address）的偏移量，用于定位模块内部的数据和代码。RVA是相对于模块基址的偏移量，通过将模块基址和RVA相加，可以计算出相应的VA。FOA（File Offset Address，文件偏移地址）：它是相对于文件起始位置的偏移量，用于定位可执行文件中的数据和代码在文件中的位置。通过将文件偏移地址和节表中的指定节的起始位置相加，可以计算出相应的FOA。 阅读全文

摘要： 代码加密功能的实现原理，首先通过创建一个新的`.hack`区段，并对该区段进行初始化，接着我们向此区段内写入一段具有动态解密功能的`ShellCode`汇编指令集，并将程序入口地址修正为`ShellCode`地址位置处，当解密功能被运行后则可释放加密的`.text`节，此时再通过一个`JMP`指令跳转到原始`OEP`位置，则可继续执行解密后的区段。 阅读全文

摘要： 本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell植入技术。该技术能够劫持原始PE文件的入口地址，在PE程序运行之前执行ShellCode反弹，执行后挂入后台并继续运行原始程序，实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。字节注入功能调用`WritePEShellCode`函数，该函数的主要作用是接受用户传入的一个文件位置，并可以将一段通过`Metasploit`工具生成的有效载荷注入到特定文件偏移位置处。 阅读全文

摘要： 在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。 阅读全文

摘要： Relocation（重定位）是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中，由于程序中使用了各种全局变量和函数，这些变量和函数的地址还没有确定，因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时，这些相对地址需要被修正为实际的绝对地址，这个过程就是重定位。在Windows操作系统中，程序被加载到内存中运行时，需要将程序中的各种内存地址进行重定位，以使程序能够正确地运行。Windows系统使用PE（Portable Executable）文件格式来存储可执行程序，其中包括重定位信息。当程序被加载到内存中时，系统会解析这些重定位信息，并将程序中的各种内存地址进行重定位。 阅读全文

摘要： 在Windows PE中，资源是指可执行文件中存放的一些固定不变的数据集合，例如图标、对话框、字符串、位图、版本信息等。PE文件中每个资源都会被分配对应的唯一资源ID，以便在运行时能够方便地查找和调用它们。PE文件中的资源都被组织成一个树形结构，其中最顶层为根节点（Root），下一级为资源类型（Type），再下一级为资源名称（Name），最终是实际的资源内容。PIMAGE_RESOURCE_DIRECTORY是Windows PE可执行文件中的一个结构类型，用于描述资源（Resource）的树形结构，其中包括了每个资源的类型（Type）、名称（Name）和语言（Language），以及指向下一级PE资源目录的地址和相关信息等。 阅读全文