摘要:
文件常规删除的三种方法都比较熟悉。#define FILE_DELETE_ON_CLOSE 0x00001000@1 Nt/ZwCreateFile Nt/ZwOpenFile 填充OpenPacket结构,标记FILE_DELETE_ON_CLOSE ... 阅读全文
摘要:
我们这里以腾讯的逆向TSSysKit.sys驱动举例。金山的对应的驱动是kisapi.sys 。360对应的是bapidrv.sys1 逆向相关的注册表底层操作相关的函数 (驱动的大小) 1 s -d b21c4000 L2b000 nt!cmpcallbackco... 阅读全文
摘要:
可供杀软弹窗的点大体有下列几个地方,我们可以使用windbg 来列出所有的handle和进程的栈回溯来定位杀软是使用了那种方式来进行弹窗对用户进行误导的。1 通过kifastcallentry或者常规的SSDT 挂钩实现的弹窗2 文件过滤驱动引起弹窗!process 0 0 ... 阅读全文
摘要:
int __stdcall get_file_machine_bit(const WCHAR * pwszFullPath) { FILE * peFile = NULL; _wfopen_s(&peFile, pwszFullPath, L"rb"); if (peFile... 阅读全文