|
[招聘]虚拟现实模拟外包或组团开发[单片机开发年薪过1000W]
眼高手低,不切实际。 |
|
[360]热招病毒分析工程师 待遇从优
地点很好,就是兴趣不大 |
|
已知一个网络验证的[正确/错误]返回值,如何设置为本地验证?
修改host文件 文件路径自己去找 系统不同路径不同 不过都是系统目录下 \drivers\etc下 hosts 内容一般是 # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 把原先的远程 域名 注意是域名不是ip!!!!!!!!!!!!!! 解析为本地ip 例如 127.0.0.1 xxx.xx.cn(对方的网站或者服务器解析域名) 你光知道对方ip没用 然后本机架设一个asp或者php服务器 将对方的 hxxp://xxx.xx.cn/xxxx.asp (验证地址,这个你懂的) 记录下来 你在架设的asp的目录下 增加一个xxxx.asp 这样就可以实现域名欺骗了 |
|
|
|
SSDT Hook为什么还要在自己的函数中调用原函数?
再也不发这些东西了。发了也没人看。 |
|
SSDT Hook为什么还要在自己的函数中调用原函数?
发出问题也不回复。。诶 |
|
求助!不知道是什么壳,高手帮看一下
tmd 你的peid识别库太老了 |
|
求病毒高手 帮忙分析
1.驱动类型,特别是rootkit--------------参考我发的一个保护进程的代码 (当然这个是最简单最垃圾的) 2.蠕虫类型,特别是如何传播------------参考熊猫xx的代码基本上就是一个下载者(这个你应该懂得 作者就是李俊) 3.dll类:怎么注入模块----------------参考网上 gh0st 3.6(红狼代码) 4.PE类型木马???? -----------------感染pe的吧。。参考(中华吸血鬼) 这些都是编写病毒的基础,还有就是汇编和pe基础要好 分析么 多半都是用工具监视 虚拟机下 运行监控行为 推荐工具 xuetr |
|
SSDT Hook为什么还要在自己的函数中调用原函数?
看到我自己发的代码部分。。 RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名------------呵呵 我那进程保护的驱动。。 调用原函数是为了 1 拦截函数改变了原来的地址 所以要事先保存地址。 2 拦截函数需要接受原先传递的参数和返回应该返回的参数。这个需要自己去实现,所以必须要写一个函数跟原先的函数结构一样但是增加了自己规则体系的函数,这个就是所谓的过滤。 主要是2的缘故。。 比如原先是 a函数 要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 这个函数被你拦截了就意味着调到你的函数空间了 汇编里面就是 jmp xxxxx 这个时候 如果你不接受 3个参数 输出两个参数(当然参数要跟系统原先定义的一样) 那么系统就会出错 崩溃,或者死机。 这个时候你必须写一个一模一样的函数 a'函数 要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 a'函数里面主要是 进行条件判断等 这样返回的参数本来比如说是 b1 b2的就被修改为 b1' b2'(这里的返回参数是根据a'函数过程来的) 也就是实现了 hook的目的。 至于原先的a函数呢在a'里面也是返回过去的 例如下面这个 函数 这个函数 可以在msdn里面找到 输入和输出的 参数 。我们写的函数是 a' NTSTATUS ZwOpenProcessHook(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)//我们自己的//NtZwOpenProcess ---------------------a'函数 带所有参数 { PEPROCESS process; //接受通过ProcessHandle返回的进程 NTSTATUS status; CHAR *pName; //接受进程的进程名 HANDLE hID; ULONG dwProcessId = NULL; PEPROCESS EProcessToOpen;------------定义参数 status = PsLookupProcessByProcessId( ClientId->UniqueProcess, &process ); if(!NT_SUCCESS(status)) return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); pName = (CHAR*)PsGetProcessImageFileName(process); //获取进程名 if(IsProtect(pName)) //判断是否是我们要保护的进程,是则返回权限不足,否则调用原函数结束进程 { if(process != PsGetCurrentProcess()) { hID = PsGetProcessId(process);//获得进程id KdPrint(("Protection Pid: %d\n"), hID); return STATUS_ACCESS_DENIED; --------------------当符合条件时 返回参数被改变了 本来是返回数据的 结果符合条件时 返回STATUS_ACCESS_DENIED } } ---------------------------------判断部分 return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); -------------------------返回到原先的a 函数 } |
|
[请勿新开主题!甲壳相关主题合并帖]
3x0最爱定义病毒,你写自己的壳,叫3x0去杀吧。 |
|
|
|
|
|
[请勿新开主题!甲壳相关主题合并帖]
发布答案吧。。即使真的是什么卓依婷。也会有人不同意的。差距很大啊。 |
|
|
|
|
|
[请勿新开主题!甲壳相关主题合并帖]
五官 脸型 眉距 眼睛 鼻翼 耳廓 都惊人一致。 看来楼主暗恋 杨彩妮 姐姐 已多时了。 这个应该是古装剧照。 可能是 武侠片的一个截图, 有可能是 东邪西毒 什么的 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值