2018年12月26日
【旧文章搬运】Windbg+Vmware驱动调试入门(一)---Windbg的设置
摘要: 原文发表于百度空间,2009-01-08 Windbg+Vmware驱动调试入门,写给wakaka小童鞋,很强大的小童鞋,同时也做为自己的存档~~ Windbg的设置 Windbg本身可以直接从微软的网站上下载下载地址:http://www.microsoft.com/whdc/devtools/d 阅读全文
posted @ 2018-12-26 18:45 黑月教主 阅读(187) 评论(0) 推荐(0) 编辑
【旧文章搬运】扩展一下ProcessNotify~~
摘要: 原文发表于百度空间,2009-01-08 看雪论坛地址:https://bbs.pediy.com/thread-80109.htm DebugMan论坛地址:http://www.debugman.com/thread/2642/1/1 纯粹是写着好玩的东西,就是扩展一下ProcessNotify 阅读全文
posted @ 2018-12-26 18:30 黑月教主 阅读(260) 评论(0) 推荐(0) 编辑
【旧文章搬运】简单栈回溯及应用
摘要: 原文发表于百度空间,2008-12-18 标准栈回溯要求回溯中的每个函数都以如下指令作为开头(当然不是说不这样开头就不能回溯,那样就得特殊处理了):push ebpmov ebp,esp接下来的工作通常是为临时变量开辟空间sub esp,0x40... 在函数结束时,会还原ebp和esp寄存器的值, 阅读全文
posted @ 2018-12-26 18:18 黑月教主 阅读(713) 评论(0) 推荐(0) 编辑
【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误
摘要: 原文发表于百度空间,2008-12-03 今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为 阅读全文
posted @ 2018-12-26 18:13 黑月教主 阅读(273) 评论(0) 推荐(0) 编辑
【旧文章搬运】超级无敌大炉子的LzOpenProcess
摘要: 原文发表于百度空间,2008-11-20 这个东西嘛,思路来自炉子,C版的最早貌似是sudami写的,我也写一个,练练手。上次看到有人找资料时找到了我刚开博时的一篇挫文,并且引用到看雪上求助,令我汗颜不已,遂把这个代码加了N多注释,方便自己,也方便某些误打误撞到我这儿找资料的菜菜~ 阅读全文
posted @ 2018-12-26 17:25 黑月教主 阅读(559) 评论(0) 推荐(0) 编辑
【旧文章搬运】PE重定位表学习手记
摘要: 原文发表于百度空间,2008-11-02 先定义一下用到的几个变量:char *hModule=NULL;//映射后的基址PIMAGE_OPTIONAL_HEADER pOptHeader;//扩展头PIMAGE_DATA_DIRECTORY pRelocTable=NULL;//指向重定位表PIM 阅读全文
posted @ 2018-12-26 17:18 黑月教主 阅读(349) 评论(0) 推荐(0) 编辑
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
摘要: 原文发表于百度空间,2008-10-24 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存Zw 阅读全文
posted @ 2018-12-26 17:04 黑月教主 阅读(352) 评论(0) 推荐(0) 编辑
【旧文章搬运】ZwQuerySystemInformation枚举进线程信息
摘要: 原文发表于百度空间,2008-10-15 很古老的东西了,写一写,权当练手吧.本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构和线程信息结构都有点问题,可能它是来自《Win20 阅读全文
posted @ 2018-12-26 17:01 黑月教主 阅读(999) 评论(0) 推荐(0) 编辑
【旧文章搬运】明明白白自旋锁
摘要: 原文发表于百度空间及DebugMan,2008-10-12 自某日看了iceboy和MJ0011关于多处理器同步的一些讨论,才发现原来我对自旋锁的理解也有一定错误,还好现在明白了~~为了加深理解,就深入分析了一下自旋锁的实现,一篇小小的自旋锁分析文章,献给大家。写得比较碎,欢迎各位大牛小牛指出错误~ 阅读全文
posted @ 2018-12-26 16:58 黑月教主 阅读(334) 评论(0) 推荐(0) 编辑
【旧文章搬运】PE感染逆向之修复(Serverx.exe专杀工具出炉手记)
摘要: 原文发表于百度空间,2008-10-4看雪论坛发表地址:https://bbs.pediy.com/thread-73948.htm 这篇文章是在Servex.exe专杀工具写完之后的一些小小感想,关于PE感染和修复,大牛飘过~ 自某日不小心中了Serverx.exe病毒,电脑中大部分EXE文件被感 阅读全文
posted @ 2018-12-26 16:43 黑月教主 阅读(838) 评论(0) 推荐(0) 编辑
【旧文章搬运】修改已加载模块的名称和路径
摘要: 原文发表于百度空间,2008-7-31 突然想起来的,修改PEB 能改掉EXE的路径,那么加载的DLL呢? 于是,马上动手实验了一下,遍历PEB中的模块列表双链,找到user32.dll后,修改其映像名和路径.具体信息在下面这个结构里: 代码比较简单,马上写完实验了一下,结果以前断链能过的全过了,m 阅读全文
posted @ 2018-12-26 16:33 黑月教主 阅读(285) 评论(0) 推荐(0) 编辑
【旧文章搬运】如何从EPROCESS辨别一个进程是否已退出
摘要: 原文发表于百度空间,2008-7-31 前面已经通过遍历活动进程双链,来得到一个进程列表.但是,这个链表中有些进程其实是已经退出的进程.因此,在得到一个EPROCESS之后,必须对其进行识别,判断其是否已经退出.通过对一死一活两个进程的EPROCESS的对比,发现以下标志可以用作判断进程是否退出的标 阅读全文
posted @ 2018-12-26 16:29 黑月教主 阅读(511) 评论(0) 推荐(0) 编辑
【旧文章搬运】暴搜内存查找PE镜像
摘要: 原文发表于百度空间,2008-7-28 前面介绍了修改PEB中已加载模块的双链,来隐藏指定的模块.不过要对付这样隐藏,一个暴力搜索内存就够了. 实现思路如下:地址以一个页的大小为单位从0x00000000到0x7FFFFFFF遍历,检查是否具有PE特征.页的大小可以通过GetSystemInfo() 阅读全文
posted @ 2018-12-26 16:27 黑月教主 阅读(502) 评论(0) 推荐(0) 编辑
【旧文章搬运】修改PEB,断链隐藏模块成功
摘要: 原文发表于百度空间,2008-7-26 继续实践之前的想法,就是断掉如下这个结构中的双向链表: 断开之后,凡使用Module32First()/Module32Next枚举模块的就找不到被隐藏的模块了.不过这样隐藏好像效果太差,没什么实用价值,最起码比起修改映像名称的效果要差多了~下面是用WSysC 阅读全文
posted @ 2018-12-26 16:24 黑月教主 阅读(911) 评论(0) 推荐(0) 编辑
【旧文章搬运】改PEB中的映像路径可以这样~
摘要: 原文发表于百度空间,2008-7-26 用常用的几个杀毒工具看了下之前写的改映像路径的程序,发现原来非常有意思好几个工具都不能正确识别路径了,吼吼~ 贴几个图上来: 狙剑: 安天的Atool: gmer(有一点小问题,在模块列表中显示不出来): Syscheck: WsysCheck: 360安全卫 阅读全文
posted @ 2018-12-26 16:17 黑月教主 阅读(201) 评论(0) 推荐(0) 编辑