随笔分类 - 安全&驱动
安全与驱动类文章
摘要:Lua是一个小巧的脚本语言,其设计目的是为了通过灵活嵌入应用程序中从而为应用程序提供灵活的扩展和定制功能。Lua由标准C编写而成,几乎在所有操作系统和平台上都可以编译,运行。Lua并没有提供强大的库,这是由它的定位决定的。
阅读全文
摘要:函数实现逻辑在llvm/lib/Transforms/Obfuscation/StringEncryption.cpp文件中,IndirectBranch,集成自类ModulePass,实现了runOnModule函数 Module(模块): Module是LLVM的最高级别的组织单元,它代表一个编
阅读全文
摘要:很多App实现的定制ollvm框架中都有goron框架的影子,或多或少的借鉴了它的功能,包括 间接跳转,并加密跳转目标(-mllvm -irobf-indbr) 间接函数调用,并加密目标函数地址(-mllvm -irobf-icall) 间接全局变量引用,并加密变量地址(-mllvm -irobf-
阅读全文
摘要:编译OLLVM git clone https://github.com/heroims/obfuscator.git -b llvm-9.0.1 --depth 1 cd obfuscator mkdir build && cd build cmake .. -DCMAKE_BUILD_TYPE=
阅读全文
摘要:在安卓7.0以上的系统版本中,app默认不信任用户安装的证书,只默认信任系统证书,需要将FiddlerRoot证书导入在系统证书内。 在雷电9设置的其他设置中开启ROOT模式,并且在性能设置中开启System.vmdk可写入,保存后重启雷电。 再把证书使用adb push到/sdcard/Downl
阅读全文
摘要:使用visibility #if defined _WIN32 || defined __CYGWIN__ #ifdef MY_NO_EXPORT #define API #else #define API __declspec(dllexport) #endif #else #ifdef __GN
阅读全文
摘要:Win8.1更新了宋体字体,中文字体显示漂亮了,但英文字体发虚不渲染,尤其是小号的英文和数字字体,看下图。1.下载Win8的宋体2.打开字体文件点击安装3.导入注册表文件4.重启Win8.1下载链接:http://pan.baidu.com/share/link?shareid=3689570862&uk=1141169366 密码:h95p
阅读全文
摘要:不知装了什么软件之后无法打开,点任务栏图标无反应。打开C:\Program Files\Internet Explorer用管理员权限才能打开iexplore.exe解决方法:在注册表的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main点右键[权限]增加一个“everyone”,权限跟管理员一样。
阅读全文
摘要:打开C:\Windows\System32\drivers\etc\hosts,加入以下内容保存. 202.89.236.211 cn.bing.com202.89.236.211 www.bing.com202.89.236.211 bing.com202.89.236.211 bing.com.cn202.89.236.211 bing.cn 如果还是打不开运行ipconfig /flush...
阅读全文
摘要:最近没啥好八卦的,拿这个来充数.HOHO.0day在文章最后面. |=---------------------------------------------------------------------------=||=----------------------=[ 专访wordexp ]=---------------------=||=------------------------...
阅读全文
摘要:---INLINE HOOK实现NDIS HOOK前面讲述了如何通过获取NDIS_PROTOCOL_BLOCK来实现NDIS HOOK,这里讲述第二种方法,那就是inline hook方法。说起inline hook,也不是什么新鲜玩意,无非是在一个函数的首部嵌入一个jmp机器指令,在该函数执行有效代码前就跳到我们的代理函数,在我们的代理函数里做了必要的处理以后,再跳回原来的函数,接着执行原函数...
阅读全文
摘要:NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议,所获得的协议句柄实际上就是一 个NDIS_PRO...
阅读全文
摘要:I'm not sure what it is, but there continues to be some sort of "competition" for "who can find the biggest bug" -- as if attackers had to choose, and more importantly, as if any bug was so big tha...
阅读全文
摘要:==Ph4nt0m Security Team== Issue 0x01, Phile #0x04 of 0x06 |=---------------------------------------------------------------------------=||=-----------...
阅读全文
摘要:==Ph4nt0m Security Team== Issue 0x01, Phile #0x03 of 0x06 |=---------------------------------------------------------------------------=||=-----------...
阅读全文
摘要:曾几何时,服务里面弹出一个窗口到桌面上不再是那么地容易了:以前只要把服务设置为允许和桌面交互就可以直接在服务启动的时候,把一个窗口弹给用户。但是现在在vista(其它的OS 下没有测试,未知)下要弹出这样的窗体,首先会弹出一个提示框提示是否接否一个服务弹出来的消息,点接受后,才会在一个全灰的桌面里面弹出这个窗口。不用想,这样的用户体验,肯定是会被直接PASS。原因很简单,因为不同的用户间的桌面是不...
阅读全文
摘要:我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou...
阅读全文
摘要:对Native API NtSystemDebugControl的分析文章作者:tombkeeper[0×40]nsfocus[0×2e]com 在《获取Windows 系统的内核变量》中,我提及了在Windows NT 5.1以上的系统中存在一个功能强大的 Native API NtSystemDebugControl,下面我们来看看它到底有多强大。 NtSystemDebugControl是W...
阅读全文
摘要:驱动级隐藏文件,注册表,进程 驱动程序暂不提供源码!提供接口方便调用. 别的不说了,看代码。 点击下载
阅读全文
摘要:以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。 原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。 #include #define GET_PTR(ptr, offset) ( *(PVOID*)( (ULONG)ptr + (offs...
阅读全文