Ta的论坛

头图
皮肤套装

使用

灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2011-6-25 01:00 0 [原创]总结一把，较为精确判断SCM加载囧，现在的主动防御还有分不清哪个进程创建的服务？拦截个RPC就行了，我曾经用这个方法获取系统对外的DNS请求，很好用。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-12 12:48 0 [原创]Ring3层Native API hook 的实现我觉得应该是可以的，本质都是inline 我也没用detours hook过native api，不过弄过CreateProcessInternalW 需要自己用GetProcAddress得到原地址，然后就跟其他上层API比如OpenProcess之类的没区别了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-12 12:00 0 [求助]如何hook setTimer 啊？我以前用Detours HOOK过这个函数，主要代码如下： /* * 函数：SetHook * 作用：安装/卸载 API HOOK * 参数：TRUE - 安装，FALSE - 卸载 * 返回：无 / void SetHook(BOOL flag) { if (flag) { DetourRestoreAfterWith(); DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); // HOOK 函数列表 DetourAttach(&(PVOID&)Old_SetTimer, New_SetTimer); DetourTransactionCommit(); } else { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); // 取消 HOOK 函数列表 DetourDetach(&(PVOID&)Old_SetTimer, New_SetTimer); DetourTransactionCommit(); } } / * 函数：New_SetTimer * 作用：拦截系统 SetTimer 函数调用 / UINT WINAPI New_SetTimer(HWND hWnd, UINT nIDEvent, UINT uElapse, TIMERPROC lpTimerFunc) { // 将时间间隔增加10倍 uElapse = 10; // 调用原函数返回 return Old_SetTimer(hWnd, nIDEvent, uElapse, lpTimerFunc); } 好点的变速齿轮不应该从这个函数，还有更底层的东西
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:08 0 [讨论]关于提取文件特征的方法/方案一般来说数字签名是最可靠的啦，不过麻烦在于你并非只关心QQ的东西，很多小公司的软件基本都是没有签名的，碰到这样的就悲剧了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:02 0 [求助]有关pdf免杀娃儿，最近怎样？
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:00 0 [求助]请教一个网卡监听的问题我是菜鸟，只不过看不惯你狂妄的口气，做人谦虚点。 WireShark用的应该是WinPcap，这个在ring3下应该算不错的解决方案了，相关代码自己去网上找吧。以后做人谦虚点。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-6 12:03 0 [求助]请教一个网卡监听的问题无语，看雪上真是啥人都有，不过也懒得打击你了。你的问题仔细看了几遍没看懂到底想问啥，你的代码里面哪里涉及到网络驱动了？应该是想做抓包的程序吧？本机网卡出去的包？抓包本来就能做到进出的包全部抓获，方法多的很 ring3有原始socket（你的代码就是），winpcap、HOOK== ring0有过滤驱动、各种HOOK、协议驱动==
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-6 11:57 0 [讨论][讨论] 知道SSDT真实地址后。。能否R3下直接调用那个地址！！驱动里面应该是可以的，只要知道地址就可以转换一下用了 SSDT HOOK的时候就经常需要这样调用原函数不过到驱动里面了，这样做还有什么意义，都可以直接调用更底层的函数了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-5 15:42 0 [原创]如何从内核层获得键盘输入的数据的思路很多，你还漏了一种很常见的，论坛里就有源码
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-5 15:40 0 [讨论][讨论] 知道SSDT真实地址后。。能否R3下直接调用那个地址！！异想天开的人真多，要可以的话就不用费尽心思寻找ring3无驱进ring0的方法了。 ring3能访问那些地址麽？再说到底可行不可行，你写个程序测试下不就行了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-2 15:03 0 [求助]高考落榜,读什么IT学校好>?? 少壮不努力，老大搞IT啊。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-1 15:52 0 Hook过滤架构搭建，仿照360 好东西，把完整工程共享一下吧，其实我主要是想找一个高效的GoOrNot，纠结的很啊
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-1 15:50 0 [求助]关于DialogBoxParam创建对话框的问题没看代码，根据你的说明，推测应该就是消息处理的问题。你点击的消息可能是发送到APP的消息队列中了，它如果没有帮你处理的话......
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 18:13 0 [求助]修改内核数据时的问题汗一个其实分析dump没那么难，最简单的：把dump文件拖到windbg里，然后xxxx命令，看到的结果就应该能给你个思路了，比如那个错误代码另外，那个命令都不用输入，直接点击一下就OK了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 18:06 0 [原创]毕业设计，一款安全检测软件，高手请路过，菜鸟们一起学习呵呵，问题同上，不过毕业设计嘛，毕竟不是商业程序，大家也不用苛责了，学习为主界面挺漂亮，赞一个
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 17:53 0 [求助]一个 API函数的问题还替代什么啊，直接用那两个ExXXXX函数不就行了吗？或者用malloc+free，这两个在驱动里也可以用
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-14 09:44 0 [求助]求一份用CreateProcess注入dll的代码恢复SSDT都会了，注入dll却不会。。。。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-10 17:47 0 [公告]看雪网站十周年现场庆祝活动我上午就报名了，到现在还没收到确认信息
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-9 20:19 0 [求助]《另类挂钩-RING3数据包监视》 -- 网址过滤 -- （浏览器异常）！！！笑死了，LZ还是回去做JAVA吧。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-2 13:45 0 [分享]AutoRun病毒的“自我防御” 明显没用，先不说其他的，既然你也说了AV会监控Autorun和注册表了你还是先想想办法能把运行自己和把驱动加载成功吧最后，HOOK那个函数真的没用，是个软件都能过你这种方式，再说如果你的驱动能够加载了就不需要关心Autorun了

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2011-6-25 01:00 0 [原创]总结一把，较为精确判断SCM加载囧，现在的主动防御还有分不清哪个进程创建的服务？拦截个RPC就行了，我曾经用这个方法获取系统对外的DNS请求，很好用。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-12 12:48 0 [原创]Ring3层Native API hook 的实现我觉得应该是可以的，本质都是inline 我也没用detours hook过native api，不过弄过CreateProcessInternalW 需要自己用GetProcAddress得到原地址，然后就跟其他上层API比如OpenProcess之类的没区别了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-12 12:00 0 [求助]如何hook setTimer 啊？我以前用Detours HOOK过这个函数，主要代码如下： /* * 函数：SetHook * 作用：安装/卸载 API HOOK * 参数：TRUE - 安装，FALSE - 卸载 * 返回：无 / void SetHook(BOOL flag) { if (flag) { DetourRestoreAfterWith(); DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); // HOOK 函数列表 DetourAttach(&(PVOID&)Old_SetTimer, New_SetTimer); DetourTransactionCommit(); } else { DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); // 取消 HOOK 函数列表 DetourDetach(&(PVOID&)Old_SetTimer, New_SetTimer); DetourTransactionCommit(); } } / * 函数：New_SetTimer * 作用：拦截系统 SetTimer 函数调用 / UINT WINAPI New_SetTimer(HWND hWnd, UINT nIDEvent, UINT uElapse, TIMERPROC lpTimerFunc) { // 将时间间隔增加10倍 uElapse = 10; // 调用原函数返回 return Old_SetTimer(hWnd, nIDEvent, uElapse, lpTimerFunc); } 好点的变速齿轮不应该从这个函数，还有更底层的东西
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:08 0 [讨论]关于提取文件特征的方法/方案一般来说数字签名是最可靠的啦，不过麻烦在于你并非只关心QQ的东西，很多小公司的软件基本都是没有签名的，碰到这样的就悲剧了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:02 0 [求助]有关pdf免杀娃儿，最近怎样？
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-8 16:00 0 [求助]请教一个网卡监听的问题我是菜鸟，只不过看不惯你狂妄的口气，做人谦虚点。 WireShark用的应该是WinPcap，这个在ring3下应该算不错的解决方案了，相关代码自己去网上找吧。以后做人谦虚点。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-6 12:03 0 [求助]请教一个网卡监听的问题无语，看雪上真是啥人都有，不过也懒得打击你了。你的问题仔细看了几遍没看懂到底想问啥，你的代码里面哪里涉及到网络驱动了？应该是想做抓包的程序吧？本机网卡出去的包？抓包本来就能做到进出的包全部抓获，方法多的很 ring3有原始socket（你的代码就是），winpcap、HOOK== ring0有过滤驱动、各种HOOK、协议驱动==
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-6 11:57 0 [讨论][讨论] 知道SSDT真实地址后。。能否R3下直接调用那个地址！！驱动里面应该是可以的，只要知道地址就可以转换一下用了 SSDT HOOK的时候就经常需要这样调用原函数不过到驱动里面了，这样做还有什么意义，都可以直接调用更底层的函数了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-5 15:42 0 [原创]如何从内核层获得键盘输入的数据的思路很多，你还漏了一种很常见的，论坛里就有源码
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-5 15:40 0 [讨论][讨论] 知道SSDT真实地址后。。能否R3下直接调用那个地址！！异想天开的人真多，要可以的话就不用费尽心思寻找ring3无驱进ring0的方法了。 ring3能访问那些地址麽？再说到底可行不可行，你写个程序测试下不就行了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-2 15:03 0 [求助]高考落榜,读什么IT学校好>?? 少壮不努力，老大搞IT啊。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-1 15:52 0 Hook过滤架构搭建，仿照360 好东西，把完整工程共享一下吧，其实我主要是想找一个高效的GoOrNot，纠结的很啊
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-7-1 15:50 0 [求助]关于DialogBoxParam创建对话框的问题没看代码，根据你的说明，推测应该就是消息处理的问题。你点击的消息可能是发送到APP的消息队列中了，它如果没有帮你处理的话......
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 18:13 0 [求助]修改内核数据时的问题汗一个其实分析dump没那么难，最简单的：把dump文件拖到windbg里，然后xxxx命令，看到的结果就应该能给你个思路了，比如那个错误代码另外，那个命令都不用输入，直接点击一下就OK了
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 18:06 0 [原创]毕业设计，一款安全检测软件，高手请路过，菜鸟们一起学习呵呵，问题同上，不过毕业设计嘛，毕竟不是商业程序，大家也不用苛责了，学习为主界面挺漂亮，赞一个
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2010-6-22 17:53 0 [求助]一个 API函数的问题还替代什么啊，直接用那两个ExXXXX函数不就行了吗？或者用malloc+free，这两个在驱动里也可以用
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-14 09:44 0 [求助]求一份用CreateProcess注入dll的代码恢复SSDT都会了，注入dll却不会。。。。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-10 17:47 0 [公告]看雪网站十周年现场庆祝活动我上午就报名了，到现在还没收到确认信息
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-9 20:19 0 [求助]《另类挂钩-RING3数据包监视》 -- 网址过滤 -- （浏览器异常）！！！笑死了，LZ还是回去做JAVA吧。
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 2009-12-2 13:45 0 [分享]AutoRun病毒的“自我防御” 明显没用，先不说其他的，既然你也说了AV会监控Autorun和注册表了你还是先想想办法能把运行自己和把驱动加载成功吧最后，HOOK那个函数真的没用，是个软件都能过你这种方式，再说如果你的驱动能够加载了就不需要关心Autorun了

{{ user_info.username }}