狂客

摘要： ObCallback回调钩子检测 2013-12-20 Nie.Meining Ring0 在 PatchGuard 的摧残下，通过 ObRegisterCallbacks 函数注册回调钩子已经成了 RK/ARK 中的主流技术之一。注册回调钩子的具体做法可以参考MSDN上的示例代码：http://c 阅读全文

摘要： 内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的 阅读全文

摘要： 最近发现有朋友在玩游戏时, 使用一款工具来修改游戏的部分数据,作弊的效果, 也就是CE(Cheat Engine),这款工具是 delphi 编写的, 于是好奇, 然后瞬间想到API OpenProcess,ReadProcessMemory,WriteProcessMemory,VirtualQu 阅读全文

摘要： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Help] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Help\v2.1]"AppRoot"="C:\\Prog 阅读全文

摘要： 钢环 护甲 手雷 = 0438-01-B0 钢环 护甲 0438-01-C0 钢环 护甲 抢 子弹 = 0438-01-DA 钢环 护甲 刀 = 0438-01-E0 043A-01-FF 人命 0x95 阅读全文

摘要： 部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); / 阅读全文

摘要： 遍历注册表回调函数(仿PCHunter CmpBack) typedef struct _CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECT deviceObject; BOOLEAN bReady; LARGE_INTEGER registryCallbackCoo 阅读全文

摘要： 内核中有个PLIST_ENTRY CmpHiveListHead;CmpHiveListHead = &CMHIVE.HiveList; CMHIVE结构如下：kd> dt _CMHIVEnt!_CMHIVE +0x000 Hive : _HHIVE +0x210 FileHandles : [3] 阅读全文

摘要： 驱动都存在 \\Driver 或者 \\FileSystem 目录对象里 我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver \\FileSystem (dt _OBJECT_DIRECOTRY)都属于 ObpDirectoryObjectType(window内核全 阅读全文

摘要： PspCidTable表里。索引值总之4的倍数。也就是说 PID/4 才是PspCidTable索引。*8 才是PsPCidTable+偏移。获取进程对应的 _HANDLE_TABLE_ENTRY 结构 查找 Object_Header 地址 = Object对象地址-0x18 TypeIndex 阅读全文