2018年12月26日
【旧文章搬运】PspCidTable攻与防
摘要: 原文发表于百度空间,2009-03-29 PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历.所以如何安全正确地遍历PspCidTable才是 阅读全文
posted @ 2018-12-26 19:45 黑月教主 阅读(811) 评论(0) 推荐(0) 编辑
【旧文章搬运】PspCidTable概述
摘要: 原文发表于百度空间,2009-03-28 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCE 阅读全文
posted @ 2018-12-26 19:41 黑月教主 阅读(644) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windows句柄表格式
摘要: 原文发表于百度空间,2009-02-28 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习 阅读全文
posted @ 2018-12-26 19:37 黑月教主 阅读(398) 评论(0) 推荐(0) 编辑
【旧文章搬运】更正一个枚举PspCidTable时的错误
摘要: 原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm PspCidTable现在已经很科普了,关于其具体格式及如何枚举,网上相关文章一大堆,最多的两篇是gz1x和sudami写的。我这里只谈一个问题,就是枚举P 阅读全文
posted @ 2018-12-26 19:31 黑月教主 阅读(415) 评论(0) 推荐(0) 编辑
【旧文章搬运】摘除过滤驱动
摘要: 原文发表于百度空间,2009-02-03 开始本文之前先膜拜一下老V~“无法F5的驱动,不是好驱动啊~不是好驱动啊~ ” killvxk语录这两天下午的时间,破解那个驱动保护搞得好痛苦,每次关机都要蓝一次,有时候设备还不工作,郁闷...而且VMware用得很伤心,每次开GuestOS都得6分钟左右, 阅读全文
posted @ 2018-12-26 19:25 黑月教主 阅读(553) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(四)---VirtualKD内核调试加速工具
摘要: 原文发表于百度空间,2009-01-09 今天又想起来VirtualKD这个东西,试用了一下,真是爽坏了,可能我火星了~~ 很久以前就知道小喂有个VmKd工具,使用Vmware的后门指令直接拷贝数据来代替模拟串口,能大大提高调试时的数据传输速度。不过那个对VMware版本的依赖性太强,我的Vmwar 阅读全文
posted @ 2018-12-26 19:20 黑月教主 阅读(732) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门
摘要: 原文发表于百度空间,2009-01-09 这一节的内容是Windbg入门,用一些基本的命令告诉你如何使用Windbg~~仅作入门,更详细的可以参考Raymond老师的《软件调试》的第30章 "WinDbg用法详解"和Windbg自带的帮助文件 我使用调试器的经验完全来自于Ring3的Ollydbg, 阅读全文
posted @ 2018-12-26 19:13 黑月教主 阅读(245) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(二)---Vmware及GuestOS的设置
摘要: 原文发表于百度空间,2009-01-08 这一篇是主要是关于Vmware部分的设置,其实参考JIURL那篇很经典的《借助VMware实现单机使用WinDbg》就可以了.不过那篇文章里面有个小错误(不知道是原作者不小心,还是别人转载的时候错了),后面的波特率应为115200而非11520我就再来写一下 阅读全文
posted @ 2018-12-26 19:10 黑月教主 阅读(353) 评论(0) 推荐(0) 编辑
【旧文章搬运】Windbg+Vmware驱动调试入门(一)---Windbg的设置
摘要: 原文发表于百度空间,2009-01-08 Windbg+Vmware驱动调试入门,写给wakaka小童鞋,很强大的小童鞋,同时也做为自己的存档~~ Windbg的设置 Windbg本身可以直接从微软的网站上下载下载地址:http://www.microsoft.com/whdc/devtools/d 阅读全文
posted @ 2018-12-26 18:45 黑月教主 阅读(182) 评论(0) 推荐(0) 编辑
【旧文章搬运】扩展一下ProcessNotify~~
摘要: 原文发表于百度空间,2009-01-08 看雪论坛地址:https://bbs.pediy.com/thread-80109.htm DebugMan论坛地址:http://www.debugman.com/thread/2642/1/1 纯粹是写着好玩的东西,就是扩展一下ProcessNotify 阅读全文
posted @ 2018-12-26 18:30 黑月教主 阅读(252) 评论(0) 推荐(0) 编辑
【旧文章搬运】简单栈回溯及应用
摘要: 原文发表于百度空间,2008-12-18 标准栈回溯要求回溯中的每个函数都以如下指令作为开头(当然不是说不这样开头就不能回溯,那样就得特殊处理了):push ebpmov ebp,esp接下来的工作通常是为临时变量开辟空间sub esp,0x40... 在函数结束时,会还原ebp和esp寄存器的值, 阅读全文
posted @ 2018-12-26 18:18 黑月教主 阅读(674) 评论(0) 推荐(0) 编辑
【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误
摘要: 原文发表于百度空间,2008-12-03 今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为 阅读全文
posted @ 2018-12-26 18:13 黑月教主 阅读(267) 评论(0) 推荐(0) 编辑
【旧文章搬运】超级无敌大炉子的LzOpenProcess
摘要: 原文发表于百度空间,2008-11-20 这个东西嘛,思路来自炉子,C版的最早貌似是sudami写的,我也写一个,练练手。上次看到有人找资料时找到了我刚开博时的一篇挫文,并且引用到看雪上求助,令我汗颜不已,遂把这个代码加了N多注释,方便自己,也方便某些误打误撞到我这儿找资料的菜菜~ 阅读全文
posted @ 2018-12-26 17:25 黑月教主 阅读(555) 评论(0) 推荐(0) 编辑
【旧文章搬运】PE重定位表学习手记
摘要: 原文发表于百度空间,2008-11-02 先定义一下用到的几个变量:char *hModule=NULL;//映射后的基址PIMAGE_OPTIONAL_HEADER pOptHeader;//扩展头PIMAGE_DATA_DIRECTORY pRelocTable=NULL;//指向重定位表PIM 阅读全文
posted @ 2018-12-26 17:18 黑月教主 阅读(338) 评论(0) 推荐(0) 编辑
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
摘要: 原文发表于百度空间,2008-10-24 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存Zw 阅读全文
posted @ 2018-12-26 17:04 黑月教主 阅读(336) 评论(0) 推荐(0) 编辑