摘要：从文件句柄获得全路径这个问题，似乎是个“老大难”问题。很久以前我就在水木清华见到过。最近又不断有人提到。其实问题并不难，只是解决办法有点绕，不是调用一个API就能解决的。 问题的关键在于，形如”X:”的Dos设备名都是符号链接（SymblicLink），而文件打开后文件对象中保存的是逻辑卷设备名（如”\Device\HarddiskVolumeX”）。前者可以转换成后者，而后者却不能简单地... 阅读全文

摘要：有兴在这次x'con交流会上认识白远方兄弟，这是他很早前写的文章，提到了很多东西，保存一下。 作者：白远方 (ID: baiyuanfan, baiyuanfan@163.com, baiyuanfan@hotmail.com)June 18, 2007关键字：rootkit，反主动防御，网络监控，ring0，mcafee8.5i，KIS6，ZoneAlarm Pro，实用级产品测试目录：反主动防... 阅读全文

摘要：题目： 设有如下C++类 class A{int value;public: A( int n = 0 ) : value( n ) {}int GetValue() {return value; }}; 请使用某种方式来在类的外部改变私有成员A::value的值。 程序员的可能做法： class A{int value;public: A( int n = 0 ) : ... 阅读全文

摘要：1#define PROTECTED_DACL_SECURITY_INFORMATION (0x80000000L) 2 3BOOL Lock_CurrentProcess() 4{ 5 HANDLE hProcess = ::GetCurrentProcess(); 6 SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORIT... 阅读全文

摘要：[代码] 阅读全文

摘要：DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中，在系统启动的时候，一个EXE程序会将这个DLL加载至某些系统进程（如Explorer.exe）中运行。这样一来，普通的进程管理器就很难发现这种病毒了，而且即使发现了也很难清除，因为只要病毒寄生的进程不终止运行，那么这个DLL就不会在内存中卸载，用户也就无法在资源管理器中删除这个DLL文件，真可谓一... 阅读全文

摘要：在普通的WINDOWS 2000下实现实现包过滤的方法主要是书写NDIS过滤驱动程序，需要的技巧比较高，而且烦琐，需要考虑很多细节。但是对于很多应用而言，只需要能更方便的对ip包进行过滤处理，其实NDIS对于ip包的过滤提供一种书写过滤钩子驱动的方式，主要方法是： 驱动中建立一个普通的设备，然后通过IOCTL_PF_SET_EXTENSION_POINTER操作将你的内核模式的过滤钩子挂接到系统默认的ip过滤驱动上，这样你就可以在自己的过滤钩子里面实现完整的基于包的各种分析和过滤的处理了。 下面就是一个完整的NDIS过滤钩子驱动的代码拒绝所有外来的TCP带S的建立连接的请求。 注意事项： 1。 阅读全文

摘要：本文简单地介绍了NDIS (Network Driver Interface Specification 即网络驱动接口规范)，以及应用程序如何与一个驱动程序交互，如何最好地利用驱动程序。作为例子，本文提供了一个应用程序使用Packet.sys的网络协议层驱动程序的例子，读者在这个例子的基础上可以实现象Netxray等局域网数据包截获程序的功能。 Packet.sys是DDK中的一个非常有用的驱动程序，通过它你能够接收以太网中所有经过你的电脑的数据包，并且可以脱离系统的TCP/IP协议栈独立发送数据包，即通过Packet.sys建立的与TCP/IP同层次的协议发送数据包。 基础知识介绍 1.. 阅读全文