03 2017 档案
摘要:shellcode 框架需要工具辅助:例如将函数名称转化为hash的工具、将ascii或者unicode字符串转DWORD数组的工具。 这里我将这2个工具结合在一起弄了个带UI的MFC的程序来辅助开发我们的工程。 代码我就不给出了其实很简单。如有需要我会继续给它增加新功能并分享于此 链接: http
阅读全文
摘要:偏移 说明 00 只想SEH链表指针 04 线程堆栈顶部(地址最小) 08 线程堆栈底部(地址最大) 0c SubSystemTib 10 FiberData 14 ArbitraryUserPointer 18 FS 段寄存器在内存中的镜像 20 进程PID 24 线程ID 2c 指向线程局部存储
阅读全文
摘要:目前旧shellcode框架最致命的问题是:须将所有函数实现放在2个标志中间,再利用2个标志去准确dump出shellocde。 随着功能的越来越多,函数也在不断增加,这就增加了代码的管理。 所以就萌发了将不同函数分门别类的放在不同的c文件编码管理,最后还得准确无误的dump出shellcode文件
阅读全文
摘要:之前写了个安装器,可以绕过UAC安装服务。后来经测试Avg zend pro(我一个朋友在免杀时,在这个杀软上栽了不少跟头),我就安装测试了下,发现avg好生强悍,直接把我的杀了。 一开始怀疑是AVG插入的dll在监控搞怪,就把经历放在如何反hook伤了,就有了上一篇 反ring3 hook dem
阅读全文
摘要:今天对CounterHookdll 进行了兼容性改进: 1. 对写入地址end的获取进行了优化改进 2. 增加hash计算,判断写入是否成功 3. 发现被inlinehook的dll 增加些打印信息
阅读全文
