tt_mc

摘要： [代码]/Files/tt_mc/QUAinsert.rar 阅读全文

摘要： 一、了解MoveFileEx MoveFileEx是MoveFile函数的扩展函数，也是用来移动文件，不过多加了一些功能。MoveFileEx函数的原型如下： BOOL MoveFileEx ( LPCTSTR lpExistingFileName, LPCTSTR lpNewFileName, DWORD dwFlags ); 第一个参数是要移动的文件名，第二个是移动后的文件名，最后一个参... 阅读全文

摘要： 论技术，我还差得远，而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下，因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来 人来说比较神秘的属于内核的地带。引用EVA说的一句话，“以为写个驱动就是内核，还远着了”——大概是这么个意思，记得不是很清楚。 关于SSDT，描述得最清楚的应该算《SSDT Hoo... 阅读全文

摘要： 标 题: 【转载】SSDT Hook的妙用－对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?threadid=40832 ********************************************************标题:【转载】 SSDT Ho... 阅读全文

摘要： 目录： 反主动防御rootkit的产生背景及其必要性 反网络访问主动防御 反API钩子进程行为主动防御 反系统 Notify进程行为主动防御 绕过监控进入ring0安装驱动 实用级反主动防御rootkit的通用性问题 反 主动防御rootkit的产生背景及其必要性 当前随着新型木马，病毒，间谍软件对网络安全的威胁日益加重，传统的特征查杀型的 安全产品和简单的封包过滤型防火墙已不能有效保护用户，因此... 阅读全文

摘要： 1、为什么要进行进程注入：到了WinNT以后的系列操作系统中，每个进程都有自己的4GB私有进程地址空间，彼此互不相关。进程A中的一个地址，比如：0x12345678，到了进程B中的相同地方，存的东西完全不一样，或者说不可预料。所以说如果进程A想要看看或者修改进程B地址空间中的内容，就必须深入到其地址空间中，因为DLL是可以被加载到任何进程当中的，所以在进程注入中，DLL应该是主角，也就是说一些核心... 阅读全文

摘要： 上节已经给大家说过了，DLL进行导出函数有2种方法，那么与之对应的调用DLL的导出函数的方法也有2种。1、隐式链接：隐式链接的特点是由编译器完成对DLL的加载和程序结束时对DLL的卸载工作，如果程序结束时如果还有其他应用程序使用该DLL，那么系统会使DLL的使用计数减1，当DLL的使用计数降为0时，会将DLL从内存中删除。★优缺点：隐式链接DLL的方法简单实用，但缺少灵活性。σ... 阅读全文

摘要： 1、动态库简介：动态链接库可以看成是一种仓库，一种资源的集合：函数，变量，类，资源……都可以由动态链接库来导出。2、动态库与静态库的区别：a、静态库中的代码会直接塞到EXE中，而动态库则可以被EXE动态的加载或卸载；b、静态库中不能再包含其他的动态或静态库，而动态库则可以。3、实现方式：动态库可以被多种语言来实现，只要遵循动态库的接口规范和调用方式即可，用各种语言编写的动态... 阅读全文

摘要： 1：新建一个WIN32静态链接库文件的工程；2：工程中新建一个 LibTest.cpp和Inc.h； extern "C"可以防止静态库函数导出的过程中add函数的名字被改变3：在同一个解决方案里面新建一个工程来调用上面创建的LibTest.lib静态链接库，放在同一个解决方案里面可以方便调试；4：新建的工程起名叫LibCall，在LibCall.cpp中加入如下代码；必须要包含静态库中函数的声明... 阅读全文