会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
retme
博客园
首页
新随笔
联系
订阅
管理
上一页
1
2
2012年3月11日
说说白利用
摘要: 白利用什么的,最近大家都在杀嘛~~现在过hips或者scan越来越难了~ 先说说没品木马们的常见手段(以下示例国内靠谱安全软件早已防范): 1. 一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的 例:RenamePendingFile这个启动点大家都知道,但其实还可以有RenamePendi...
阅读全文
posted @ 2012-03-11 13:12 retme
阅读(250)
评论(0)
推荐(0)
编辑
2012年3月9日
玩了下windbg插件
摘要: 最近在做一些自动化分析dump的东西,用windbg插件实现~下面是一个取得object的例子~mark一下~放到WinDDK\7600.16385.1\Debuggers\sdk\samples\exts 编译~~ 高亮代码ULONG64 __stdcall FindObjectByName(char* szObjectName,ULONG64 ulRoot){/* 哈希表 ...
阅读全文
posted @ 2012-03-09 13:21 retme
阅读(627)
评论(0)
推荐(0)
编辑
2012年2月21日
[再mark] 系统注册的dpc,枚举定时器相关的……
摘要: 续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html刚没事儿又看了下~mark而已啊~ 1. ExpTimerDpcRoutine R3程序调用NtCreateTimer 创建句柄对应Etimer,etimer包含一个ktimer结构,最终是通过ktimer的dpc机制实现的 Ktimer...
阅读全文
posted @ 2012-02-21 17:18 retme
阅读(559)
评论(0)
推荐(0)
编辑
2011年11月18日
和谐有爱的一个鬼影版本
摘要: 启动代码比hello_tt那个简洁,驱动也是无花无壳,比较有爱适合抄袭~~(hello_tt的看雪上有源码~~) 驱动只支持atapi啊这样不好,还附赠一段插apc注入explorer什么的。。。 求教怎么在启动阶段快速抓出他的驱动啊。。我是用windbg在ZwCreateSection return false才抓出来的= = http://115.com/file/clj65qfe...
阅读全文
posted @ 2011-11-18 18:10 retme
阅读(103)
评论(0)
推荐(0)
编辑
2011年11月1日
围观文件穿越操作
摘要: 大概这么几个思路 1. 打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验对于鬼影这种hook住微端口驱动的StartIo这种,直接判断驱动名字...
阅读全文
posted @ 2011-11-01 18:46 retme
阅读(208)
评论(0)
推荐(0)
编辑
上一页
1
2