摘要:
标 题: 【原创】使用ZwMapViewOfSection创建内存映射文件总结 作 者: 小覃 时 间: 2012-06-15,02:28:36 链 接: http://bbs.pediy.com/showthread.php?t=152144 <!-- google_ad_section_star 阅读全文
摘要:
标 题: 【原创】内核ShellCode注入的一种方法 作 者: organic 时 间: 2013-05-04,04:34:08 链 接: http://bbs.pediy.com/showthread.php?t=170959 <!-- google_ad_section_start --> 最 阅读全文
摘要:
标 题: 【分享】【原创】另类阻止驱动加载 作 者: czcqq 时 间: 2010-05-04,22:27:47 链 接: http://bbs.pediy.com/showthread.php?t=112338 关于驱动的加载大概有几种方法 1 在WINDOWS下动态加载 2 在WINDOWS启 阅读全文
摘要:
读书笔记--[计算机病毒解密与对抗] 目录: 遍历进程&线程程序 终止进程 获取进程信息 获取进程内模块信息 获取进程命令行参数 代码运行环境:Win7 x64 VS2012 Update3 遍历系统中所有进程 [cpp] view plain copy print? #include <stdio 阅读全文
摘要:
由于我一般使用的虚拟内存, 有时我们需要获取到物理内存中的数据(也就是内存条中的真实数据), 按理说是很简单,打开物理内存,读取就可以了.但似乎没这么简单: [cpp] view plain copy print? #include "windows.h" //定义相应的变量类型,见ntddk.h 阅读全文
摘要:
.process .process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy print? kd> .process Implicit pr 阅读全文
摘要:
原理小伟的小伟在http://bbs.pediy.com/showthread.php?t=66886说的挺清楚了,Windows7下有一些变化,使用NtQueryVirtualMemory来枚举模块是一个效率很低的事情,自己枚举VadRoot速度是很快的,有N个子节点时,为log(N),还有我在这 阅读全文
摘要:
4个断点寄存器DR0~DR3用来设置断点的线性地址。 DR6为状态寄存器,DR7为控制寄存器。 DR4和DR5保留。当CR4.DE==1时,访问DR4和DR5产生#UD异常;IF CR4.DE==0,访问DR4和DR5将是对DR6和DR7的访问。 下面这张表非常清楚: |-------------- 阅读全文
摘要:
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLo 阅读全文