_懒人 - 博客园

Win7 _Object_header 中的 TypeIndex

摘要： Win7 比较 xp下ObjectHeader中的内容有所变化，xp直接在OBJECT_HEADER里保存了POBJECT_TYPE指针，而Win7中把所有的对象类型放在了一个表里，这个表叫做ObTypeIndexTable。可以这么定义为：POBJECT_TYPE ObTypeIndexTable... 阅读全文

posted @ 2015-07-23 17:25 _懒人阅读(1690) 评论(0) 推荐(0) 编辑

注入小结

摘要：平常用的最多的dll注入技术就是远程线程，刚刚逛看雪，看到有人写的面试的时候被问到的问题，其中就有dll注入的方法，我突然想到我开始面试的时候也被问了dll注入的方法，当时也是就只知道一个远程线程，答的也不好，然后就想把一些注入技术写个总结。接下来讲的注入技术，有ring3层的lld的远程线程和ap... 阅读全文

posted @ 2015-07-21 01:24 _懒人阅读(7340) 评论(2) 推荐(2) 编辑

Windows 代码实现关机(直接黑屏)

摘要：整理资料的时候发现的以前的代码，本机Win7 x64 Sp1 运行直接关机，黑屏。就是利用RtlAdjustPrivilege函数提权，代码中的注释写的很详细了。用的VS2010写的，直接编译成x64就可以运行，直接关机了。#include "stdafx.h"#include #include ... 阅读全文

posted @ 2015-07-20 21:20 _懒人阅读(2064) 评论(0) 推荐(0) 编辑

Windows SEH学习 x86

摘要： windows提供的异常处理机制实际上只是一个简单的框架。我们通常所用的异常处理（比如C++的throw、try、catch）都是编译器在系统提供的异常处理机制上进行加工了的增强版本。这里先抛开增强版的不提，先说原始版本。原始版本的机制很简单：谁都可以触发异常，谁都可以处理异常（只要它能看... 阅读全文

posted @ 2015-07-19 14:07 _懒人阅读(5486) 评论(3) 推荐(0) 编辑

Smali 语法文档

摘要：可以选择保存成pdf格式,查询起来挺方便的if v0==0 go cond_0if-eqz v0, :cond_0if v0!=0 go cond_0if-nez v0, :cond_0v1赋属性值const/4 v1, 0x2iput v1, p0, Lcom/android/shortcuts/... 阅读全文

posted @ 2015-07-15 09:03 _懒人阅读(4003) 评论(0) 推荐(0) 编辑

SIOCADDRT: No such process

摘要：配置Ubuntu靶机遇到的问题如果你添加/修改默认网关时遇到这个问题。原因：你要添加的网关不在你主机所在的网段。解决方法：比如你要添加的网关是10.57.50.1sudo route add 10.57.50.1/32 dev eth0然后再sudo route add default gw 10.... 阅读全文

posted @ 2015-06-19 01:59 _懒人阅读(2005) 评论(0) 推荐(0) 编辑

Windbg 常用命令整理

摘要： kd> !idt -a 查看idtkd> dt _ktrap_frame 异常帧kd> ba e1 Address 下硬件执行断点kd> ba w4 Address 下硬件读写断点kd> k 查看栈回溯kd> !pcr CPU控制块kd> r 显示寄存器信息kd>x 以通配符的方式... 阅读全文

posted @ 2015-06-16 23:36 _懒人阅读(698) 评论(0) 推荐(0) 编辑

ida GDB 远程调试

摘要：在看雪上回答的问题，有人问在WinDbg下断KiDebugRoutine或者KdEnterDebugger函数会引发蓝屏！因为是在调试Windows的内核调试引擎，我给出的解决办法是用不依赖Windows的内核调试引擎对其进行调试，在以前分析Windows的启动过程时用到过ida的远程调试，在Win... 阅读全文

posted @ 2015-06-16 23:23 _懒人阅读(3715) 评论(0) 推荐(0) 编辑

IDA 使用技巧

摘要：我用的IDA Pro 6.5，把我自己使用ida的一些方法记录，免得自己遗忘1 .导入符号表可以像前一篇博客中写的那样，也可以使用File--->LoadFile--->PDB File 选择符号文件，然后File--->LoadFile--->ReloadInputFile 重新分析2.改变基地址... 阅读全文

posted @ 2015-05-24 14:19 _懒人阅读(2924) 评论(0) 推荐(0) 编辑

Windows X64 Patch Guard

摘要：先简单介绍下PatchGuard ，摘自百度百科PatchGuard就是Windows Vista的内核保护系统，防止任何非授权软件试图“修改”Windows内核，也就是说，Vista内核的新型金钟罩。PatchGuard为Windows Vista加入一个新安全操作层，此前我们为您介绍过的ASLR... 阅读全文

posted @ 2015-05-24 14:18 _懒人阅读(4611) 评论(0) 推荐(0) 编辑

C 和C++ 名称修饰规则

摘要： C名称修饰规则 1.对于使用__cdecl调用约定的函数，在函数名称前加一下划线，不考虑参数和返回值。 2.对于使用__fastcall调用约定的函数，在函数名称前后各加一@符号，后跟参数的长度，不考虑返回值。例如 extern “C” int __fastcall Test(int ... 阅读全文

posted @ 2015-05-22 23:36 _懒人阅读(1122) 评论(0) 推荐(0) 编辑

【转载】硬盘主引导记录(MBR)及其结构详解

摘要：硬盘的0柱面、0磁头、1扇区称为主引导扇区，FDISK程序写到该扇区的内容称为主引导记录（MBR）。该记录占用512个字节，它用于硬盘启动时将系统控制权交给用户指定的，并在分区表中登记了的某个操作系统区。1.MBR的读取硬盘的引导记录（MBR）是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作... 阅读全文

posted @ 2015-05-19 12:40 _懒人阅读(6161) 评论(0) 推荐(1) 编辑

IDA 与VC 加载符号表

摘要：将Windbg路径下的symsrv.yes 拷贝到ida 的安装目录，重新分析ntoskrnl.exe，加载本地的符号表添加环境变量变量名：_NT_SYMBOL_PATH变量值：SRV*{$Path}*http://msdl.microsoft.com/download/symbols/将“{$... 阅读全文

posted @ 2015-05-19 00:40 _懒人阅读(1765) 评论(0) 推荐(0) 编辑

Inlinehook PspCreateProcess

摘要： InineHook通过修改函数指令实现，此次以内核层的PspCreateProcess()为例。本来是想写NtCreateProcess()的Inlinehook，但是想到PCHunter对于SSDT和ShadowSSDT的检测，就想试一下PCHunter对于更底层函数的检测功能，虽然最后还是被检测... 阅读全文

posted @ 2015-05-16 21:01 _懒人阅读(1166) 评论(0) 推荐(0) 编辑

x64的调用约定

摘要：在设计调用约定时，x64 体系结构利用机会清除了现有 Win32 调用约定（如 __stdcall、__cdecl、__fastcall、_thiscall 等）的混乱。在 Win64 中，只有一个本机调用约定和 __cdecl 之类的修饰符被编译器忽略。除此之外，减少调用约定行为还为可调试性带来了... 阅读全文

posted @ 2015-04-23 12:57 _懒人阅读(2279) 评论(0) 推荐(0) 编辑