摘要:
#define TSSYSKIT_CTL_CREATEKEY0x222408 // ZwCreateKey()#define TSSYSKIT_CTL_KILLPROCESS0x222004 // ZwTerminateProcess()#define TSSYSKIT_CTL_OPENANDDELETEKEY0x222008 // ZwOpenKey(),ZwDeleteKey()#define TSSYSKIT_CTL_OPENANDDELETEVALUEKEY 0x22200C // ZwDeleteValueKey(),ZwOpenKey()#define TSSYSKIT_CTL_C 阅读全文
摘要:
选择 windows->cascade floating windows 即可. 阅读全文
摘要:
///////////////////////////////////////////RegMon学习与分析//////////////////////////////////////////////////////////////////////////////////1.注册表回调机制///////////////////////////////////////应用程序通过调用NtNotify... 阅读全文
摘要:
[代码] 阅读全文
摘要:
转载自MJ的BLOGMJ是转载自ICBM的BLOG出来工作有两年了,感觉自己从最初的过于理想化变得过于现实。这篇文章让我内心有些震动。1. 不仅仅为了赚钱青年人容易犯的一个大错误,就是太关注钱,将金钱作为衡量成功的唯一标准。实际上,钱的作用在于,你能用它来干自己想干的事。钱本身并不是生活的目的,你自己想干的事才是。钱就好比汽油,生活的目的不是为了获得汽油,而是为了让汽车加满油之后,去那些你想去的地... 阅读全文
摘要:
MBR感染,是DOS时代的事情了..那个时代的Dos机需要一个1.44MB大小的软盘来作为启动盘,于是MBR病毒就会大肆的感染MBR区,也感染了软盘的MBR...呵呵..现在的windows不需要通过软盘来启动了..但是现在的MBR感染应该不叫MBR感染了..叫改写了MBR区..windows下对MBR改写的可以参考下charme同学的<<MBR另类感染技术>>.下面贴一段... 阅读全文
摘要:
系统启动过程主要由一下几步组成(以硬盘启动为例): 1. 开机 :-) 2. BIOS 加电自检 ( Power On Self Test -- POST ) 内存地址为 0ffff:0000 3. 将硬盘第一个扇区 (0头0道1扇区, 也就是Boot Sector) 读入内存地址 0000:7c00 处. 4. 检查 (WORD) 0000:7dfe 是否等于 0xaa55, 若不等于 则转去尝... 阅读全文
摘要:
1.x86和x64引导过程中所涉及的组件1--MBR: 读入和加载分区的引导扇区;2--引导扇区: 读入根目录,以加载ntldr;3--NTLDR: 读入Boot.ini,提示引导菜单,加载Ntoskrnl.exe,Bootvid.dll,Hall.dll和引导启动的 设备驱动程序.如果引导的是一个32位系统,则切换到32位保护模式;4--Ntdetecct: ... 阅读全文
摘要:
今天复习 windows internals 4th 的时候,看到chatper5,关于windows启动和停机的..突然想把这些开机启动的Rootkit技术,好好梳理一遍,下面列个目录吧,后续内容慢慢研究补上.[0.0]----Windows启动过程[1.0]----剖析MBR[2.0]----调试NTLDR[3.0]----分析Stoned Bootkit[4.0]----Detect and... 阅读全文
摘要:
这一章讲的有点多,与很多RK技术相关的也不少.具体来分析的话,想详细的剖析下以下知识点1.系统机制:@ IDT@ GDT@ SSDT@ Shadow SSDT@ 增加一个系统服务分发上面这些,包括一些HOOK技术,可能都显得很古老了,但是真正剖析和理解清楚,还是需要下一番功夫的.2.windows对象管理详解3.WinObj的设计与实现4.句柄表剖析.@@ IDT 检测关于IDT_Hook技术可以... 阅读全文