会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
retme
博客园
首页
新随笔
联系
订阅
管理
2012年5月2日
关于ark取得进程的镜像文件路径
摘要: 最近看到一个trojan把自己拷到回收站里隐藏,然后发现我两万年前写的ark取得的进程路径还是原路径。。。突然想起来很久以前看到某群的讨论 拿破伦19:22:03话说,一个运行中的文件,然后移动他到其他目录~~拿破伦19:22:33有些检测他的路径会变成新的目录KKindOf 19:23:05丫的,这是面试题吧DRL不爱天使 19:23:06嗯DRL不爱天使 19:23:32你说的是W...
阅读全文
posted @ 2012-05-02 22:19 retme
阅读(400)
评论(0)
推荐(0)
编辑
2012年4月11日
旧闻:windows关于产品类型注册表写入的防止机制
摘要: 随便看看,这部分微软抹去了符号。 产品类型的注册表在SystemControl->ProductSuite->ProductOptions1.系统初始化时已经读取了这个值,详见ROS。CmControlVector是一系列要在系统初始化前期从hive中读取来的值,其中就有 { L"ProductOptions", L"ProductSuite", C...
阅读全文
posted @ 2012-04-11 19:18 retme
阅读(232)
评论(0)
推荐(0)
编辑
2012年3月27日
mark一下逆向c++写的dll的套路
摘要: c++写的几M的dll看着很dt,如果还是com写的。。如果还有一大堆加解密的东西= = 静态 主要的类 this一定要用IDA建一个结构,this第一项是虚函数表指针,也要建立一个结构,结构上最好标上虚函数表的相对偏移,比如命名为struct ClassXX_vtable_0xAABB 动态 一开始的时候下断点,有明显的字符串当然好。没有的话便...
阅读全文
posted @ 2012-03-27 18:39 retme
阅读(338)
评论(0)
推荐(0)
编辑
2012年3月26日
Win32k(5) 相关逆向~参考文献~
摘要: 这是很久前读ROS的一点笔记,最近没空搞这个,发上来备份~百度越来越渣了,总说我 “文章内容包含不合适内容” 不让贴!———— PDF版本 115提取码 dpfi6iya第七部分 一些相关应用一、枚举消息钩子二、遍历gditable/usertable查询隐藏进程三、窗口保护四、Hook KeUsermodeCallback防止全局钩子注入 可以过滤很多东西,比如防止注入。这里逆向了一...
阅读全文
posted @ 2012-03-26 14:22 retme
阅读(367)
评论(0)
推荐(0)
编辑
Win32k(4) 视窗钩子
摘要: 第五部分 视窗钩子一、ROS下的流程 Win2000版本有人分析过了http://bbs.pediy.com/showthread.php?t=135702 消息钩子是一种官方支持钩子回调,可以拦截某一个窗口或者全局的消息。消息本应直接发到对应窗口的wndproc,现在要先发送到我们设定的消息回调,由我们的hook函数进行参数的收取、截获、过滤~ HHOOKSetWindowsHook...
阅读全文
posted @ 2012-03-26 14:14 retme
阅读(463)
评论(0)
推荐(0)
编辑
Win32k(3) R0 to R3,键盘鼠标输入
摘要: 第三部分 R0 to R3 这部分有教主非常精彩和实用的分析,我就不瞎说了。http://bbs.pediy.com/showthread.php?t=104918 r3 to r0 是常规系统调用倒过来中断或者sysenter的东西:http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf137db11a18d81fac.html NT...
阅读全文
posted @ 2012-03-26 14:13 retme
阅读(1115)
评论(0)
推荐(0)
编辑
Win32k(2) 报文驱动的通信机制
摘要: 一.应用层的apiint APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine,intnCmdShow){ WNDCLASSEXwcex; wcex.lpfnWndProc = ...
阅读全文
posted @ 2012-03-26 14:06 retme
阅读(762)
评论(0)
推荐(0)
编辑
Win32k(1) 图形线程的初始化
摘要: 很久以前看ROS的笔记,跟windows不一样的地方不少,最近没时间看这块了= = 先贴上来备份第一部分 图形线程的初始化综述一下—— 图形通信对象(user object)以线程为单位。这个线程是图形线程,调用表就是ssdt shadow,包含了图形系统调用,三环由user32提供,0环由win32k支持。 线程包含窗口,桌面,普通窗口,各种控件,都是窗口。窗口有一个wndproc,...
阅读全文
posted @ 2012-03-26 14:02 retme
阅读(550)
评论(0)
推荐(0)
编辑
2012年3月23日
inline Hook IdePortStartIo+80 的奇怪驱动
摘要: 原理类似机器狗,代码写的挺新鲜loadder.exe行为 NtSetSysteminformation加载驱动 c:\\cloud76.dll 驱动cloud76.dll 行为 摘掉IopFsNotifyChangeQueueHead队列 hook dmload.sys的IrpCreate...
阅读全文
posted @ 2012-03-23 18:03 retme
阅读(313)
评论(0)
推荐(0)
编辑
2012年3月14日
枚举劳务线程
摘要: ExWorkerQueue是全局数组一共三类typedef enum _WORK_QUEUE_TYPE {CriticalWorkQueue,DelayedWorkQueue,HyperCriticalWorkQueue,MaximumWorkQueue} WORK_QUEUE_TYPE;kd> dt _KQUEUE 80565820 nt!_KQUEUE+0x000 Header ...
阅读全文
posted @ 2012-03-14 19:52 retme
阅读(653)
评论(0)
推荐(0)
编辑
下一页