yifi - 博客园

EPROCESS

摘要：在内核中进程是靠EPROCESS来识别的 dt _EPROCESS fffffa801aaecb30 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER 0x1d298d... 阅读全文

posted @ 2017-03-09 20:38 yifi 阅读(1114) 评论(0) 推荐(0) 编辑

获取PEB

摘要：参考链接：http://www.cnblogs.com/HsinTsao/p/6399459.html 自己感觉这个方法不行阅读全文

posted @ 2017-03-09 16:30 yifi 阅读(474) 评论(1) 推荐(0) 编辑

反调试

摘要： Github上看到的一个Demo:https://github.com/cetfor/AntiDBG 检测一个Demo是否被调试无非就是从四个方面进行入手: 内存通过查询窗口、父进程、PEB、DbgPort等标志位检测 CPU 通过CTX标志位进行判断时间通过比较时间确定是否被调试异常　各阅读全文

posted @ 2017-03-09 16:01 yifi 阅读(635) 评论(0) 推荐(0) 编辑

VT学习

摘要：断断续续看了两个月，终于基本上理解了VT，这个理解能力也是够了。参考程序：VT_demo、HyperBone、VirtualDbg、VirtualDbgHide 这几个程序在Github上都可以下到由于阅读别人的源码就不放了今天终于程序中悟出了VT的皮毛纪念一下。阅读全文

posted @ 2017-03-08 21:05 yifi 阅读(591) 评论(0) 推荐(0) 编辑

dfs

摘要：这份代码终于理解了dfs 阅读全文

posted @ 2017-03-02 16:19 yifi 阅读(165) 评论(0) 推荐(0) 编辑

调试器

摘要： http://www.pediy.com/kssd/pediy11/111876.html 三种断点分别对应的异常类型及处理： 1. 软件断点（INT3）：对应的异常是 EXCEPTION_BREAKPOINT，处理方式为恢复代码为原来字节，并将EIP减一，并设置单步以便进入单步后重新设置这个一般断阅读全文

posted @ 2017-03-01 11:34 yifi 阅读(430) 评论(0) 推荐(0) 编辑

Windows 套接字I/O模型

摘要：一、套接字模型 Winsock以两种模式执行I/O操作：阻塞和非阻塞。在阻塞模式下，执行 I/O 的 Winsock 调用（如 send 和 recv）直到操作完成才返回。在非阻塞模式下，Winsock 函数会立即返回。 1）阻塞模式套接字创建时，默认工作在阻塞模式下。例如，对 recv 函数阅读全文

posted @ 2017-03-01 09:43 yifi 阅读(735) 评论(0) 推荐(0) 编辑

TCP/UDP

摘要： 1 #include "../common/InitSock.h" 2 #include <stdio.h> 3 CInitSock initSock; // 初始化Winsock库 4 int main() 5 { 6 // 创建套接字 7 SOCKET sListen = ::socket(AF 阅读全文

posted @ 2017-03-01 08:57 yifi 阅读(237) 评论(0) 推荐(0) 编辑

防止Dll注入

摘要： http://www.cnblogs.com/yifi/p/6480704.html 利用LoadImageNotify回调拦截DLL加载，1.这个时候写内存有可能导致死锁；2.DLL被拦截一次之后，重启前再也无法加载最简单的方法，拦截IRP_MJ_CREATE，发现带FILE_EXECUTE属性阅读全文

posted @ 2017-02-28 20:49 yifi 阅读(1705) 评论(0) 推荐(0) 编辑

利用挂钩KeUserModeCallBack实现防止Dll注入

摘要： http://bbs.pediy.com/thread-145687.htm http://www.pediy.com/kssd/pediy11/104918.html KeUserModeCallback的基础知识我们都知道一个普通的系统调用，它的过程大概是这样的(以OpenProcess为例)：阅读全文

posted @ 2017-02-28 20:13 yifi 阅读(2027) 评论(0) 推荐(0) 编辑