摘要:
UNICODE_STRING:typedef struct _UNICODE_STRING { USHORT Length; //UNICODE占用的内存字节数,个数*2; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING ,*PUNICODE_STRING;参数定义:Length-----buffer的字节长度,不包括终止符“NULL”MaximumLength---buffer的的总的字节大小。Up to MaximumLength bytes may be written into thebuffer without tramplin 阅读全文
2010年12月30日 #
2010年12月29日 #
摘要:
内存与进程管理器========================== But I fear tomorrow I'll be crying, Yes I fear tomorrow I'll be crying.King Crimson'69 -Epitaph关于Windows NT内存管理器的高层次信息已经够多的了,所以这里不会再讲什么FLAT模型、虚拟内存之类的东西。这里我们只讲具体的底层的东西。我假定大家都了解i386的体系结构。目录========== 00.内核进程线程结构体 01.页表 02.Hyper Space 03.System PTE'S 04.Frame data ba 阅读全文
摘要:
标 题: 【翻译】现代dump技术及保护措施作 者: libradohko时 间: 2007-01-30,04:44:21链 接: http://bbs.pediy.com/showthread.php?t=38785现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx,Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dum 阅读全文
摘要:
标 题: 【翻译】intel指令格式与长度反汇编引擎ADE32分析作 者: 火影时 间: 2007-10-31,20:31:36链 接: http://bbs.pediy.com/showthread.php?t=54180我翻译的29A#7的一篇文章:****************************************INTELINSTRUCTIONFORMAT****************************************intel指令具有特有的格式:intel指令格式+-------------+--------+----------+---------+-- 阅读全文
2010年12月28日 #
摘要:
内存与进程管理器==========================But I fear tomorrow I'll be crying,Yes I fear tomorrow I'll be crying.King Crimson'69 -Epitaph关于Windows NT内存管理器的高层次信息已经够多的了,所以这里不会再讲什么FLAT模型、虚拟内存之类的东西。这里我们只讲具体的底层的东西。我假定大家都了解i386的体系结构。目录==========00.内核进程线程结构体01.页表02.Hyper Space03.System PTE'S04.Frame data base (MmP 阅读全文
2010年12月22日 #
摘要:
已经把代码附上了….以前的没什么修改,在搜索特征码时没有在非分页内存搜.可能会蓝屏,不过你应该做下适当修改–sysnap之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导出的函数,这个会了,基本什么函数都会hook,呵呵,先看下它的定义吧NTSTAT 阅读全文
摘要:
网上很多hook代码,尤其是Obxxxxxx系列函数,它们很邪恶,一旦hook得好,可如入无人之境,这点我深有体会啊,但是同时它们调用频繁,比如ObReferenceObjectByxxxxxx,基本上windows的每一个操作,都会调用它。比如就简单的一个双击一下记事本,ObReferenceObjectByxxxxxx已经被调用了,所以在进行hook的时候,如果功力不深,就容易造成BSOD。一般如果是我在动这些蛋糕的时候,我都会注意如下几个方面:1,一个强大的汇编引擎,一个强大的引擎必不可少2,#pragma LOCKEDCODE3, CurrentIRQL = KeGetCurrentI 阅读全文
2010年12月20日 #
摘要:
Private Sub Form_Load()If InitializeWinIo = False Then '加载WINIO驱动 MsgBox "WINIO驱动程序无法加载!" 'EndEnd If' -------------------WM_HXWDLLWX_QQBTX = RegisterWindowMessage("WM_HXWDLLWX_QQBTX")'注册自定义消息WM_HXWDLLWX_HOOKKEY = RegisterWindowMessage("WM_HXWDLLWX_HOOKKEY")' -----------------Set DX = New DirectX7' 阅读全文
摘要:
现在的计算机键盘除开传统的PS/2键盘以外另有USB键盘,本文只先容普通的PS/2键盘,是以本文的举出例子代码也只撑持PS/2键盘,对USB键盘无效。我们懂得计算机使得到键盘的信息,必需与键盘举行通信。计算机与外设的通信都是依靠I/O操作完成的,键盘也不列外,当键盘上一个键被按下后,键盘就需要发送一个信息到主机。主机怎么懂得键盘什么时候发送了信息呢?有两种方式:轮询和中断。轮询就是说主机不停的扣问键盘是不是有新的信息,这是以前I/O操作最传统的方式。中断则是一种比力先进的方式,不是由主机来不停的扣问键盘,而是由键盘主动告诉主机:有新的信息来了,这样主机就会执行一段中断处置惩罚程序,来处置惩罚键 阅读全文
2010年12月15日 #
摘要:
现在网上很多盗QQ的木马,发现都不管用得,顺便做了这只QQ木马,这里发布一部分核心的代码内核代码,用于记录QQ密码,此代码编译后可以在win2000到win7下正常运行,百分百能获取正确的QQ和密码,用户太下面的代码,只能获取QQ和密码,不带邮件发送功能,和系统隐藏功能,主要是怕有些人哪去干坏事,所以我不发布完整版的代码,以下驱动代码需要编译为NTI0.SYS文件放到C:\\Windows\\system32\\目录下面,在编译后面的代码,为一个DLL,最自己在用C写一个控制台程序加载编译后的DLL,运行起打开QQ登录后,就会显示出QQ帐号和密码,本篇文章只供学习只用,请不要哪去做坏事,后果自 阅读全文