上一页 1 2 3 4 5 6 7 8 9 10 ··· 38 下一页
2023年11月22日
9.4 Windows驱动开发:内核PE结构VA与FOA转换
摘要: 本章将继续探索内核中解析PE文件的相关内容,PE文件中FOA与VA,RVA之间的转换也是很重要的,所谓的FOA是文件中的地址,VA则是内存装入后的虚拟地址,RVA是内存基址与当前地址的相对偏移,本章还是需要用到`《内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数,在映射后对其PE格式进行相应的解析,并实现转换函数。 阅读全文
posted @ 2023-11-22 14:33 lyshark 阅读(413) 评论(0) 推荐(0)
9.3 Windows驱动开发:内核解析PE结构节表
摘要: 在笔者上一篇文章`《内核解析PE结构导出表》`介绍了如何解析内存导出表结构,本章将继续延申实现解析PE结构的PE头,PE节表等数据,总体而言内核中解析PE结构与应用层没什么不同,在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数,在之后的章节中这个函数会被多次用到,为了减少代码冗余,后期文章只列出重要部分,读者可以自行去前面的文章中寻找特定的片段。PE结构(Portable Executable Structure)是Windows操作系统用于执行可执行文件和动态链接库(DLL)的标准格式。节表(Section Table)是PE结构中的一个部分,它记录了可执行文件或DLL中每个区域的详细信息,例如代码、数据、资源等。 阅读全文
posted @ 2023-11-22 14:29 lyshark 阅读(432) 评论(0) 推荐(0)
9.2 Windows驱动开发:内核解析PE结构导出表
摘要: 在笔者的上一篇文章`《内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址,并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数,本章将继续延申这个话题,实现对PE文件导出表的解析任务,导出表无法动态获取,解析导出表则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过`ntimage.h`中的系列函数解析即可。 阅读全文
posted @ 2023-11-22 14:24 lyshark 阅读(621) 评论(0) 推荐(0)
C/C++ 常见数组排序算法
摘要: 本文介绍了几种常见的排序算法的实现,包括冒泡排序、选择排序、插入排序、希尔排序、归并排序和快速排序。冒泡排序通过多次遍历数组,比较并交换相邻元素,逐步将较小元素“浮”到数组顶端,时间复杂度为O(n^2)。选择排序通过选择未排序部分的最小元素进行交换,逐步完成整个数组排序,同样具有O(n^2)的时间复杂度。插入排序将数组分为已排序和未排序部分,逐个插入未排序元素到已排序部分的合适位置,时间复杂度为O(n^2)。希尔排序是插入排序的改进版本,通过分组插入排序,最终得到有序数组,时间复杂度在O(n log n)到O(n^2)之间。归并排序采用分治策略,递归拆分和合并数组,时间复杂度始终为O(n log n),但需要额外空间。最后,快速排序通过选择基准值划分数组,并递归排序子数组,平均时间复杂度为O(n log n),但最坏情况下为O(n^2)。这些算法各有特点,适用于不同场景。 阅读全文
posted @ 2023-11-22 13:55 lyshark 阅读(888) 评论(0) 推荐(0)
C/C++ 使用API实现数据压缩与解压缩
摘要: 在Windows编程中,经常会遇到需要对数据进行压缩和解压缩的情况,数据压缩是一种常见的优化手段,能够减小数据的存储空间并提高传输效率。Windows提供了这些API函数,本文将深入探讨使用Windows API进行数据压缩与解压缩的过程,主要使用`ntdll.dll`库中的相关函数。 阅读全文
posted @ 2023-11-22 12:37 lyshark 阅读(804) 评论(0) 推荐(0)
2023年11月21日
C++ LibCurl实现Web指纹识别
摘要: Web指纹识别是一种通过分析Web应用程序的特征和元数据,以确定应用程序所使用的技术栈和配置的技术。这项技术旨在识别Web服务器、Web应用框架、后端数据库、JavaScript库等组件的版本和配置信息。通过分析HTTP响应头、HTML源代码、JavaScript代码、CSS文件等,可以获取关于Web应用程序的信息。指纹识别在信息搜集、渗透测试、安全审计等方面具有重要作用。有许多开源和商业工具可以用于执行Web指纹识别,例如Wappalyzer、WebScarab、Nmap等。 阅读全文
posted @ 2023-11-21 20:38 lyshark 阅读(1071) 评论(0) 推荐(3)
5.4 Windows驱动开发:内核通过PEB取进程参数
摘要: PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。 阅读全文
posted @ 2023-11-21 20:00 lyshark 阅读(930) 评论(0) 推荐(0)
5.3 Windows驱动开发:内核取应用层模块基址
摘要: 在上一篇文章`《内核取ntoskrnl模块基地址》`中我们通过调用内核API函数获取到了内核进程`ntoskrnl.exe`的基址,当在某些场景中,我们不仅需要得到内核的基地址,也需要得到特定进程内某个模块的基地址,显然上篇文章中的方法是做不到的,本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。上一篇文章中的`PPEB32,PLIST_ENTRY32`等结构体定义依然需要保留,此处只保留核心代码,定义部分请看前一篇文章,自定义读取模块基址核心代码如下,调用`GetModuleBaseWow64()`用户需传入进程的`PROCESS`结构该结构可通过内核函数`PsLookupProcessByProcessId`获取到。 阅读全文
posted @ 2023-11-21 19:58 lyshark 阅读(535) 评论(0) 推荐(0)
5.2 Windows驱动开发:内核取KERNEL模块基址
摘要: 模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基址,当我们需要操作这个模块时,通常第一步就是要得到该模块的内存基址,模块分为用户模块和内核模块,这里的用户模块指的是应用层进程运行后加载的模块,内核模块指的是内核中特定模块地址,本篇文章将实现一个获取驱动`ntoskrnl.exe`的基地址以及长度,此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。关于该程序的解释,官方的解析是这样的`ntoskrnl.exe`是`Windows`操作系统的一个重要内核程序,里面存储了大量的二进制内核代码,用于调度系统时使用,也是操作系统启动后第一个被加载的程序,通常该进程在任务管理器中显示为`System`。 阅读全文
posted @ 2023-11-21 19:55 lyshark 阅读(599) 评论(0) 推荐(0)
7.1 Windows驱动开发:内核监控进程与线程回调
摘要: 在前面的文章中`LyShark`一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以`监控进程线程`创建为例,在`Win10`系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。 阅读全文
posted @ 2023-11-21 19:44 lyshark 阅读(693) 评论(0) 推荐(0)
8.3 Windows驱动开发:内核遍历文件或目录
摘要: 在笔者前一篇文章`《内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍历文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。 阅读全文
posted @ 2023-11-21 19:40 lyshark 阅读(780) 评论(0) 推荐(0)
8.2 Windows驱动开发:内核解锁与强删文件
摘要: 在某些时候我们的系统中会出现一些无法被正常删除的文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除。 阅读全文
posted @ 2023-11-21 18:25 lyshark 阅读(601) 评论(0) 推荐(0)
C++ LibCurl实现Web隐藏目录扫描
摘要: LibCurl是一个开源的免费的多协议数据传输开源库,该框架具备跨平台性,开源免费,并提供了包括HTTP、FTP、SMTP、POP3等协议的功能,使用libcurl可以方便地进行网络数据传输操作,如发送HTTP请求、下载文件、发送电子邮件等。它被广泛应用于各种网络应用开发中,特别是涉及到数据传输的场景。本章将是`《C++ LibCurl 库的使用方法》`的扩展篇,在前一篇文章中我们简单实现了LibCurl对特定页面的访问功能,本文将继续扩展该功能,并以此实现Web隐藏目录扫描功能。 阅读全文
posted @ 2023-11-21 11:26 lyshark 阅读(462) 评论(0) 推荐(0)
C++ Boost 实现异步端口扫描器
摘要: 端口扫描是一种用于识别目标系统上哪些网络端口处于开放、关闭或监听状态的网络活动。在计算机网络中,端口是一个虚拟的通信端点,用于在计算机之间传输数据。每个端口都关联着特定类型的网络服务或应用程序。端口扫描通常是网络管理员、安全专业人员或黑客用来评估网络安全的一种方法。通过扫描目标系统的端口,可以了解系统上哪些服务在运行、哪些端口是开放的,从而评估系统的安全性。 阅读全文
posted @ 2023-11-21 06:35 lyshark 阅读(548) 评论(0) 推荐(0)
2023年11月20日
11.15 监控目录文件变化
摘要: 监视对指定目录的更改,并将有关更改的信息打印到控制台,该功能的实现不仅可以在内核层,在应用层同样可以。程序中使用`ReadDirectoryChangesW`函数来监视目录中的更改,并使用`FILE_NOTIFY_INFORMATION`结构来获取有关更改的信息。ReadDirectoryChangesW 是`Windows`操作系统提供的一个函数,用于监视目录的变化。它属于`Windows API`的一部分,主要用于监视文件系统中目录的修改、新增、删除等变化,并通过回调函数向应用程序提供通知。 阅读全文
posted @ 2023-11-20 09:16 lyshark 阅读(673) 评论(0) 推荐(0)
11.9 实现磁盘相关操作
摘要: 11.9.1 遍历磁盘容量 如下代码实现了在Windows系统中获取所有磁盘驱动器的信息。具体包括两个函数,一个用于获取驱动器类型,另一个用于获取驱动器空间信息。主函数则调用这两个函数来遍历所有逻辑驱动器并输出相应的信息。在输出驱动器空间信息时,会输出该驱动器的总大小、已用空间以及可用空间。 #in 阅读全文
posted @ 2023-11-20 09:01 lyshark 阅读(423) 评论(0) 推荐(0)
11.8 实现重置文件时间戳
摘要: 11.8.1 切割文件名与路径 如下代码是一段文件路径切割实现,通过传入文件路径,获取文件名和文件路径的功能。具体实现包括两个函数:GetFileName和GetFilePath。前者接收一个文件路径字符串,并返回该文件路径中的文件名;后者接收一个文件路径字符串,并返回该文件路径中除文件名以外的部分 阅读全文
posted @ 2023-11-20 08:55 lyshark 阅读(435) 评论(0) 推荐(0)
2023年11月19日
8.5 Windows驱动开发:内核注册表增删改查
摘要: 注册表是Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,注册表是一个巨大的树形结构,无论在应用层还是内核层操作注册表都有独立的API函数可以使用,而在内核中读写注册表则需要使用内核装用API函数,如下将依次介绍并封装一些案例,实现对注册表的创建,删除,更新,查询等操作。在Windows内核中,注册表是一种存储系统配置信息的机制,包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数,可以让驱动程序通过代码访问和修改注册表,以实现系统的配置和管理。下面简单介绍一下内核中的注册表增删改查操作: 阅读全文
posted @ 2023-11-19 20:17 lyshark 阅读(617) 评论(1) 推荐(0)
8.1 Windows驱动开发:内核文件读写系列函数
摘要: 在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。 阅读全文
posted @ 2023-11-19 20:13 lyshark 阅读(1418) 评论(0) 推荐(0)
11.1 文件拷贝移动与删除
摘要: 在编程中,针对磁盘与目录的操作也是非常重要的,本章将重点介绍如何实现针对文件目录与磁盘的操作方法,其中包括了删除文件,文件拷贝,文件读写,目录遍历输出,遍历磁盘容量信息,磁盘格式化,输出分区表数据,监控目录变化等。 阅读全文
posted @ 2023-11-19 09:32 lyshark 阅读(424) 评论(0) 推荐(0)
C/C++ 获取主机网卡MAC地址
摘要: MAC地址(Media Access Control address),又称为物理地址或硬件地址,是网络适配器(网卡)在制造时被分配的全球唯一的48位地址。这个地址是数据链路层(OSI模型的第二层)的一部分,用于在局域网(LAN)中唯一标识网络设备。获取网卡地址主要用于网络标识和身份验证的目的。MAC地址是一个唯一的硬件地址,通常由网卡的制造商在制造过程中分配。通过获取MAC地址可以判断当前主机的唯一性可以与IP地址绑定并实现网络准入控制。在Windows平台下获取MAC地址的方式有很多,获取MAC地址的常见方式包括使用操作系统提供的网络API(如Windows的GetAdaptersAddresses和GetAdaptersInfo),NetBIOS API,系统命令(如ipconfig /all),ARP缓存表查询,第三方库(如WinPcap或Libpcap),以及在编程语言中使用网络库。 阅读全文
posted @ 2023-11-19 09:27 lyshark 阅读(1293) 评论(0) 推荐(0)
2023年11月18日
C/C++ 运用WMI接口查询系统信息
摘要: Windows Management Instrumentation(WMI)是一种用于管理和监视`Windows`操作系统的框架。它为开发人员、系统管理员和自动化工具提供了一种标准的接口,通过这个接口,可以获取有关计算机系统硬件、操作系统和应用程序的信息,以及对系统进行管理和控制的能力。WQL 的语法类似于 SQL(Structured Query Language),使用WQL可以执行各种查询来检索关于计算机系统、硬件、软件和其他管理信息的数据。这些查询可以用于编写脚本、管理任务、监视性能等。为了方便查询获取参数这里提供一个简单的查询工具供大家查询使用,下载后打开,其默认查询的是`Win32_ComputerSystem`也就是系统的基本参数信息; 阅读全文
posted @ 2023-11-18 12:04 lyshark 阅读(1934) 评论(2) 推荐(3)
4.6 Windows驱动开发:内核遍历进程VAD结构体
摘要: 在上一篇文章`《内核中实现Dump进程转储》`中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍`VAD`结构,该结构的全程是`Virtual Address Descriptor`即`虚拟地址描述符`,VAD是一个`AVL`自`平衡二叉树`,树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个`VAD`节点,由一个`MMVAD`结构完整描述。 阅读全文
posted @ 2023-11-18 10:22 lyshark 阅读(831) 评论(0) 推荐(0)
4.5 Windows驱动开发:内核中实现进程数据转储
摘要: 多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导出,从而更好的对样本进行分析,当然某些加密壳可能无效但绝大多数情况下是可以被转存的。 阅读全文
posted @ 2023-11-18 10:13 lyshark 阅读(436) 评论(0) 推荐(0)
4.4 Windows驱动开发:内核监控进程与线程创建
摘要: 当你需要在Windows操作系统中监控进程的启动和退出时,可以使用`PsSetCreateProcessNotifyRoutineEx`函数来创建一个`MyCreateProcessNotifyEx`回调函数,该回调函数将在每个进程的创建和退出时被调用。 阅读全文
posted @ 2023-11-18 10:10 lyshark 阅读(1269) 评论(0) 推荐(0)
上一页 1 2 3 4 5 6 7 8 9 10 ··· 38 下一页

博客园 - 开发者的网上家园