摘要： 白利用什么的，最近大家都在杀嘛~~现在过hips或者scan越来越难了~ 先说说没品木马们的常见手段（以下示例国内靠谱安全软件早已防范）： 1. 一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的 例：RenamePendingFile这个启动点大家都知道，但其实还可以有RenamePendi... 阅读全文

摘要： 最近在做一些自动化分析dump的东西，用windbg插件实现~下面是一个取得object的例子~mark一下~放到WinDDK\7600.16385.1\Debuggers\sdk\samples\exts 编译~~ 高亮代码ULONG64 __stdcall FindObjectByName(char* szObjectName,ULONG64 ulRoot){/* 哈希表 ... 阅读全文

摘要： 续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html刚没事儿又看了下~mark而已啊~ 1. ExpTimerDpcRoutine R3程序调用NtCreateTimer 创建句柄对应Etimer，etimer包含一个ktimer结构，最终是通过ktimer的dpc机制实现的 Ktimer... 阅读全文

摘要： 启动代码比hello_tt那个简洁，驱动也是无花无壳，比较有爱适合抄袭~~（hello_tt的看雪上有源码~~） 驱动只支持atapi啊这样不好，还附赠一段插apc注入explorer什么的。。。 求教怎么在启动阶段快速抓出他的驱动啊。。我是用windbg在ZwCreateSection return false才抓出来的= = http://115.com/file/clj65qfe... 阅读全文

摘要： 大概这么几个思路 1. 打开文件用IoCreateFile，其他比较好发irp的（比如删除操作）走FSD irp删除文件部分处理了删除正在运行的exe镜像部分，做法是方法是IAT Hook MmFlushImageSection但是这样对于独占文件依旧不能处理，只好等到关机回调的时候ZwClose一下在检验对于鬼影这种hook住微端口驱动的StartIo这种，直接判断驱动名字... 阅读全文