摘要: XP 打完补丁 原始nt!KiSystemServiceAccessTeb+0x12:804df7c0 ff0538f6dfff inc dword ptr ds:[0FFDFF638h]804df7c6 8bf2 mov esi,edx804df7... 阅读全文
posted @ 2014-12-08 16:26 kms_hhl 阅读(303) 评论(0) 推荐(0) 编辑
只有注册用户登录后才能阅读该文。 阅读全文
posted @ 2014-12-04 13:52 kms_hhl 阅读(13) 评论(0) 推荐(0) 编辑
摘要: REG_SZ REG_SZ 在注册表中,REG_SZ,是一种字符串类型,代表一个简单的文本字符串,是最常见的一种数据类型。 其中“SZ”是“String Zero”的缩写,匈牙利命名法,表示null结尾的字符串变量。 注:REG_SZ型注册表值项没有长度限制。原文出处:http://blog... 阅读全文
posted @ 2014-11-23 12:43 kms_hhl 阅读(1298) 评论(0) 推荐(0) 编辑
摘要: x64上面的每个回调都会对应一个count计数。注册表回调也会有。保存PspNotifyEnableMask标志,每个位分别代表相应的回调是否存在。对应的位和相应的汇编代码如下。即使这个回调已经被杀毒软件注册了,我们通过定位相应的count并将其清0或者将相应的标志位置为0就可以让相应的回调得不到执... 阅读全文
posted @ 2014-11-23 12:39 kms_hhl 阅读(1042) 评论(0) 推荐(0) 编辑
摘要: $$*****************************************************************$$ Script by kms_hhl to monitor process create and show call stack$$ Create Time 2... 阅读全文
posted @ 2014-11-23 12:30 kms_hhl 阅读(392) 评论(0) 推荐(0) 编辑
摘要: 在Cmxxkey层面下断点,配合bp /t (/p) 命令可以监控指定线程 进程 对指定注册表键值的创建和删除。$$*****************************************************************$$ Script by kms_hhl to mo... 阅读全文
posted @ 2014-11-23 12:24 kms_hhl 阅读(1011) 评论(0) 推荐(0) 编辑
摘要: windbg脚本方便灵活,但是语法古怪,使用的人不多。windbg扩展功能强大,但是使用的人也很少。抛砖引玉吧。 此脚本可以监控到 a 任意时机 开关机时刻 (挂shutdown 删文件 或者开机挂回调特定时刻删文件) b 任意底层穿透驱动 bapidrv tsysk... 阅读全文
posted @ 2014-11-23 12:14 kms_hhl 阅读(579) 评论(0) 推荐(0) 编辑
摘要: 乙方安全公司工作主要还是往外卖一些安全产品。比如做数据取证的,入侵检测的,或者往外卖硬件的IDS IPS没有实力的就买别家的产品自己贴牌,深深感受到乙方公司关系取得订单和销售的重要。我之前的公司还是做取数据的比较多。既然要拿数据一套好用的远控是必不可少的。在乙方公司的这段时间感谢小鱼。相互交流学... 阅读全文
posted @ 2014-11-23 10:59 kms_hhl 阅读(481) 评论(0) 推荐(0) 编辑
摘要: 文件常规删除的三种方法都比较熟悉。#define FILE_DELETE_ON_CLOSE 0x00001000@1 Nt/ZwCreateFile Nt/ZwOpenFile 填充OpenPacket结构,标记FILE_DELETE_ON_CLOSE ... 阅读全文
posted @ 2014-11-17 22:07 kms_hhl 阅读(783) 评论(0) 推荐(0) 编辑
摘要: 我们这里以腾讯的逆向TSSysKit.sys驱动举例。金山的对应的驱动是kisapi.sys 。360对应的是bapidrv.sys1 逆向相关的注册表底层操作相关的函数 (驱动的大小) 1 s -d b21c4000 L2b000 nt!cmpcallbackco... 阅读全文
posted @ 2014-11-17 21:45 kms_hhl 阅读(1085) 评论(0) 推荐(0) 编辑