摘要:
阅读全文
摘要:
x64 下的calc +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0x1 '' +0x003 BitField : 0x8 '' +0x003 ImageUsesLargePages : 0y0 ... 阅读全文
摘要:
右键项目属性,Build Events -> Pre-Build Event : 设置 Command Line call "..\..\..\Bin\BuildVersionControl.exe" 意思就是在编译前,调用BuildVersionControl.exe ;此程序会修改 自定义的#d 阅读全文
摘要:
1 FILETIME ft = { 0 }; 2 SYSTEMTIME st = { 0 }; 3 ULARGE_INTEGER ull = { 0 }; 4 ::GetSystemTime(&st); 5 ::SystemTimeToFileTime(&st, &ft); 6 ull.LowPar 阅读全文
摘要:
http://chenhailong.iteye.com/blog/1856505 GetVersionEx 在win8以后已经不好用了,请使用RtlGetVersion ,具体使用请查看MSDN 还可以利用 _KUSER_SHARED_DATA 获取准确的 版本号 win10 系统下x86 程序调 阅读全文
摘要:
shellcode 框架需要工具辅助:例如将函数名称转化为hash的工具、将ascii或者unicode字符串转DWORD数组的工具。 这里我将这2个工具结合在一起弄了个带UI的MFC的程序来辅助开发我们的工程。 代码我就不给出了其实很简单。如有需要我会继续给它增加新功能并分享于此 链接: http 阅读全文
摘要:
偏移 说明 00 只想SEH链表指针 04 线程堆栈顶部(地址最小) 08 线程堆栈底部(地址最大) 0c SubSystemTib 10 FiberData 14 ArbitraryUserPointer 18 FS 段寄存器在内存中的镜像 20 进程PID 24 线程ID 2c 指向线程局部存储 阅读全文
摘要:
目前旧shellcode框架最致命的问题是:须将所有函数实现放在2个标志中间,再利用2个标志去准确dump出shellocde。 随着功能的越来越多,函数也在不断增加,这就增加了代码的管理。 所以就萌发了将不同函数分门别类的放在不同的c文件编码管理,最后还得准确无误的dump出shellcode文件 阅读全文
摘要:
之前写了个安装器,可以绕过UAC安装服务。后来经测试Avg zend pro(我一个朋友在免杀时,在这个杀软上栽了不少跟头),我就安装测试了下,发现avg好生强悍,直接把我的杀了。 一开始怀疑是AVG插入的dll在监控搞怪,就把经历放在如何反hook伤了,就有了上一篇 反ring3 hook dem 阅读全文
摘要:
今天对CounterHookdll 进行了兼容性改进: 1. 对写入地址end的获取进行了优化改进 2. 增加hash计算,判断写入是否成功 3. 发现被inlinehook的dll 增加些打印信息 阅读全文