09 2016 档案
摘要:在搞攻防对抗,哎。 去年外包方案还是很牛X的,今年不行了。 外包做了个关机修复的方案, 没有代码,只能编出来,然后看源码, 哎,原来是HOOK了主窗口过程,然后等section结束, 结束的时候,做修复的。 生活无奈啊。没啥技术含量。
阅读全文
摘要:总有那些想不到的函数。 waccess waccess_s 我去哪学这些去?
阅读全文
摘要:https://technet.microsoft.com/en-us/sysinternals/bb897447.aspx http://www.rohitab.com/discuss/topic/39956-my-first-native-application/ 以前没注意过这里。 HKLM\
阅读全文
摘要:前言: 1 #if 0 2 3 其实,现在我要做的这件事情,是有个前提的, 4 有一天晚上,我和一个朋友讨论一个相关技术的问题, 5 (因为我也不是很懂,我不确定我的观点是正确的,所以才是讨论), 6 我们聊到了,Windows的映射机制, 7 我们模拟的场景是这样的: 8 (简单场景,x86环境下
阅读全文
摘要:学了好久好久,但是好久好久都没有用过,今天突然要用,都快忘了怎么玩了, 这里记录一下吧。 如何检测PAE r cr4 第5位如果是1,则开了PAE,否则没开 切入目标进程 查找一个自己关注的字符串s -u (start) L(len) ""得到地址 得到地址kd> db 01014dd401014d
阅读全文
摘要:实际上,这块可以写成汇编,然后做远程注入用 方法 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构 4、通过_LIS
阅读全文
摘要:最近在一点点练习,看Windows 内部的执行流程, 从简单的看起,然后一点点积累,慢慢学习, 我一哥们看到我这么做了之后,跟我说的第一句话就是。。。 “你个SB,wrk里面不是有代码么” 哎,我的心拔凉拔凉的, 看别人的代码,有自己逆一遍印象深么, 而且我也想练习一下自己的逆向的能力, 虽然现在都
阅读全文
摘要:从R3 ,到磁盘 1:kernel32 WriteFile 1) 挺惊讶的,符号好使了, 前面大概4条判断,根据句柄判断要写到什么地方,一共有4个地方可能要去, stdin stdout stderr 还有最后一个 控制台 2)然后就是一个异步的判断 如果是异步,那么整理信息,然后调用NtWrite
阅读全文
摘要:以前,感觉写ReactOS的那帮人很牛, 他们自己弄出了一套NT内核, 通过最近的微软函数的分析我发现,其实想做,真的不难, 难的是,熟练,快速, 快速反汇编,快速分析,快速得到大致流程,然后快速编码, 而且通过分析微软函数的功能, 我发现ReactOS和微软的东西,流程上不是完全一样。
阅读全文
摘要:IRP所有标识位的含义,是 _IRP . flags 这个成员
阅读全文
摘要:https://msdn.microsoft.com/en-us/library/windows/hardware/ff545834(v=vs.85).aspx The FILE_OBJECT structure is used by the system to represent a file o
阅读全文
摘要:当前环境,MiniFilter 1:FsRtlIsPagingFile 参数是一个 FileObject 2:判断操作标识 SL_OPEN_PAGING_FILE FlagOn 宏可以直接做到,传入参数,是一个 Iopb->OperationFlags 3:还有一个位置就是在注册回调的时候,注册 F
阅读全文
摘要:学习写驱动,其实,挺无聊,但是也挺有意思的 IoGetTopLevelIrp 今天在看一个文件系统过滤驱动的时候,看到这个函数,它是干嘛的,为什么会有这么个东西 https://msdn.microsoft.com/library/windows/hardware/ff548405 MSDN果真古之
阅读全文
摘要:前言:和一个同事(跟自己关系不错的男同事)聊天,聊崩了,我俩关系瞬间就到底了。 我想和他说的话,我实在不愿意再直接跟他说了: 我只想问,你希望你身边的人,是说人话不办人事的,还是不说人话但办人事的。 我崩了,你就崩了,我不崩,你就没完没了,这种需要我来维护的二人关系,一旦我不维护了,直接崩了,这种关
阅读全文
摘要:Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。
阅读全文
摘要:这段代码真神了, 当我还在考虑,进程创建回调里面怎么结束进程更方便的时候, 当我还在找oep、写ret的时候, 当我还在阻止进程创建的时候, 这份神代码给了一个极其简单的方法, 直接OpenProcess,然后Terminate就好了, 根本不用什么ret oep的,没有, 什么逢冲以合为应期,什么
阅读全文
摘要:1. 下载dmp文件所有相关模块的symbols,缓存到共享路径,便于其它人快速下载。"D:\Debuggers.10\x86\symchk.exe" /id c:\MyApplication.dmp /s SRV*\\symbols_server\WinSymbols\*http://msdl.m
阅读全文
摘要:感觉挺有意义的,细节问题 http://www.kernelmode.info/forum/viewtopic.php?f=14&t=4318这个人代码到底犯了什么错误 I want to place a jumper in Win 10 x64 win32k .text (PatchGuard d
阅读全文
摘要:FltRegisterFilter 注册过滤器 FltStartFiltering 开始过滤 InstatanceSetupCallback 实例安装回调 .当一个微过滤器加载的时候,每个存在的卷都会导致这个调用。.当一个新的卷被mount..当FltAttachVolume被调用(内核模式).当F
阅读全文
摘要:FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO 商用软件一定要过滤掉这个类型的请求,这个类型的请求响应非常慢。 FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO
阅读全文