Ta的论坛

头图
皮肤套装

使用

QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 18:16 0 [求助]如何用进程ID查到主窗口的句柄 showwindow实际是sendmessage(wm_show)
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 14:54 0 [求助]delphi取进程ＩＤ的问题．看看他钩了哪些函数，如果钩了ntuserquerywindow就别想啦~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 14:42 0 [讨论]spjq.sys 是个啥东西?见多识广的进来研究下. deamon tools的变形驱动，无害
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 11:45 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？自己去看datasheet 或者找个山寨硬件工程师问问好了
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 11:22 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？ USB不知道行不行，因为usb是host-client式的，device只是给usb host提供sector读写的能力，不知道会不会提供发送command给controller的功能~可以找找资料~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:45 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？使用ata command 0xec发送到cf卡的controller 然后返回的512Bytes 的extend sector里面偏移0x14开始的20个字节就是ASCII的序列号了具体实现参考GOOGLE~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:42 0 [求助][求助]一段ring0代码实在不理解你遇到的应该是这个宏： #define KeQueryTickCount(CurrentCount ) { \ volatile PKSYSTEM_TIME _TickCount = ((PKSYSTEM_TIME )(&KeTickCount)); \ while (TRUE) { \ (CurrentCount)->HighPart = _TickCount->High1Time; \ (CurrentCount)->LowPart = _TickCount->LowPart; \ if ((CurrentCount)->HighPart == _TickCount->High2Time) break; \ _asm { rep nop } \ } \ }
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:35 0 [求助][求助]一段ring0代码实在不理解 typedef struct _KSYSTEM_TIME { ULONG LowPart; LONG High1Time; LONG High2Time; } KSYSTEM_TIME, *PKSYSTEM_TIME; KSYSTEM_TIME KeTickCount;
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-9-14 10:36 0 [求助]驱动编译不能通过啊！！兄弟门帮帮忙啊～～ Irp->Tail::Overlay::CurrentStackLocation->Control \|= SL_PENDING_RETURNED
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-31 18:59 0 逆的一段注入代码 CNNIC的apc inject dll,很老了，把个DLL整在SYS里头。。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-31 18:57 0 [讨论]如何在过滤驱动中建立多个设备？RING3如何与其通信？用不同类型的DeviceType
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-18 10:57 0 [原创]机器狗病毒技术分析根本就没说到穿还原的点子上去，说来说去就是些什么还原恢复的，还恢复InternalDispatch？？我看你这个2一辈子都不知道那个到底是什么Dispatch，就跟你某个同事一样。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-18 10:45 0 [原创]机器狗病毒技术分析很挫，绕不了360还原保护水中雁，不就是写金山清理专家那个二货吗？来看一条金山相关新闻： b49K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9U0l9H3x3e0q4Q4x3V1k6T1L8r3!0Y4i4K6u0r3K9i4c8W2L8g2)9J5c8U0M7@1x3r3t1I4x3U0c8X3k6o6x3%4y4K6V1J5x3K6y4S2k6X3x3K6j5h3t1&6z5g2)9J5k6h3S2@1L8h3H3`.
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-14 00:38 0 [讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳看雪的众位到底行不行啊？
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-13 00:12 0 [讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳哦。。。。`````
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-12 00:46 0 [讨论]关于顺网的驱动防火墙这个防火墙的驱动写得太恶心了~一个拦驱动的驱动居然做到了20KB~看得头疼，睡觉去
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-12 00:35 0 [讨论]关于顺网的驱动防火墙这个防火墙的主要工作流程: PsLoadImageNotifyRoutine监视到镜象加载(包括USERMODE和kernel mode的，ZwLoadDriver,ZwSetSystemInformation方式加载的驱动都会被拦截到）判断ImageInfo中SystemModeImage,如果是就开始拦截，算文件的校验，从PE头里取校验、TimeStamp,SizeOfImage,然后和一些预置的黑白名单对比如果没有对比出来，就置一个DriverEntryEvent，通知RING3 并开始等待DriverProcessedEvent RING3得到通知后调DeviceIoControl取镜象信息，和本地的名单对比后，得到处理结果用dev ctl送给RING0，同时置DriverProcessedEvent（这个操作是在dev ctl里，驱动给你做的，要注意的是，如果你要搞它的EVENT，它的event是在System进程上下文创建的，所以你用EVENT_ALL_ACCESS是打不开它的event的~注意权限问题~）,等待驱动置DriverClearedEvent，最后驱动置DriverClearedEvent，RING3继续循环等待DriverEntryEvent~ 三事件通讯系统~由于操作的共享数据是dev ext且未做数据同步，所以用了第三个事件（DriverClearedEvent)来做同步如果确定是要拦截的，那么会将加载的镜象的DriverEntry处patch成 mov eax , 0xc0000022 retn 8 导致加载不成功退出貌似没发现什么明显的空子可钻。要么就用device io control,但是会涉及它的device ext结构变化的问题~ 要么就改它本地的白名单库或者PATCH它的EXE，这个也是对版本有依赖要么就是ZwSystemDebugControl,这个用法就多了可以添加CallGate进R0，然后直接将它的NotifyRoutine给patch掉，或者是将PsImageNotifyEnabled这个全局变量置为FALSE 缺点是不支持2000、2003 SP1,而且某些HIPS或AV已经直接封了这个函数~（例如卡巴），当然网吧的话可以不考虑要么就是PhyMemory,类似上面的方法，添加CallGate,不过不支持2003 SP1，而且有AV/HIPS拦要么就是PageFile或SANDMAN,感染内存中的win32k等，添加shellcode进R0，好处是全平台通用，坏处是你找不到现成的代码：D 另外hotpatch也是可以的，因为这个驱动防火墙只会patch你的镜象的DriverEntry,而这对hotpatch没有影响。只是好象不支持2000，以及2003 SP2（？？）总之暂时没想到比较优美方法可以过这个~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 22:59 0 [讨论]关于顺网的驱动防火墙下个个程序看了下，原来所谓驱动防火墙是抄了本人的360GuardField的方法~ 用PsLoadImageNotifyRoutine来监视驱动加载，对其进行PATCH，这样hotpatch是没戏的了
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 22:04 0 [讨论]关于顺网的驱动防火墙都可以。。。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 21:02 0 [讨论]关于顺网的驱动防火墙搞点通用的东西，不然太没意思

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 18:16 0 [求助]如何用进程ID查到主窗口的句柄 showwindow实际是sendmessage(wm_show)
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 14:54 0 [求助]delphi取进程ＩＤ的问题．看看他钩了哪些函数，如果钩了ntuserquerywindow就别想啦~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 14:42 0 [讨论]spjq.sys 是个啥东西?见多识广的进来研究下. deamon tools的变形驱动，无害
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 11:45 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？自己去看datasheet 或者找个山寨硬件工程师问问好了
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 11:22 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？ USB不知道行不行，因为usb是host-client式的，device只是给usb host提供sector读写的能力，不知道会不会提供发送command给controller的功能~可以找找资料~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:45 0 [求助]有没有哪位大侠研究过CF卡硬件序列号的读写问题？使用ata command 0xec发送到cf卡的controller 然后返回的512Bytes 的extend sector里面偏移0x14开始的20个字节就是ASCII的序列号了具体实现参考GOOGLE~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:42 0 [求助][求助]一段ring0代码实在不理解你遇到的应该是这个宏： #define KeQueryTickCount(CurrentCount ) { \ volatile PKSYSTEM_TIME _TickCount = ((PKSYSTEM_TIME )(&KeTickCount)); \ while (TRUE) { \ (CurrentCount)->HighPart = _TickCount->High1Time; \ (CurrentCount)->LowPart = _TickCount->LowPart; \ if ((CurrentCount)->HighPart == _TickCount->High2Time) break; \ _asm { rep nop } \ } \ }
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-10-20 10:35 0 [求助][求助]一段ring0代码实在不理解 typedef struct _KSYSTEM_TIME { ULONG LowPart; LONG High1Time; LONG High2Time; } KSYSTEM_TIME, *PKSYSTEM_TIME; KSYSTEM_TIME KeTickCount;
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-9-14 10:36 0 [求助]驱动编译不能通过啊！！兄弟门帮帮忙啊～～ Irp->Tail::Overlay::CurrentStackLocation->Control \|= SL_PENDING_RETURNED
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-31 18:59 0 逆的一段注入代码 CNNIC的apc inject dll,很老了，把个DLL整在SYS里头。。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-31 18:57 0 [讨论]如何在过滤驱动中建立多个设备？RING3如何与其通信？用不同类型的DeviceType
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-18 10:57 0 [原创]机器狗病毒技术分析根本就没说到穿还原的点子上去，说来说去就是些什么还原恢复的，还恢复InternalDispatch？？我看你这个2一辈子都不知道那个到底是什么Dispatch，就跟你某个同事一样。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-18 10:45 0 [原创]机器狗病毒技术分析很挫，绕不了360还原保护水中雁，不就是写金山清理专家那个二货吗？来看一条金山相关新闻： b49K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9U0l9H3x3e0q4Q4x3V1k6T1L8r3!0Y4i4K6u0r3K9i4c8W2L8g2)9J5c8U0M7@1x3r3t1I4x3U0c8X3k6o6x3%4y4K6V1J5x3K6y4S2k6X3x3K6j5h3t1&6z5g2)9J5k6h3S2@1L8h3H3`.
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-14 00:38 0 [讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳看雪的众位到底行不行啊？
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-13 00:12 0 [讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳哦。。。。`````
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-12 00:46 0 [讨论]关于顺网的驱动防火墙这个防火墙的驱动写得太恶心了~一个拦驱动的驱动居然做到了20KB~看得头疼，睡觉去
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-12 00:35 0 [讨论]关于顺网的驱动防火墙这个防火墙的主要工作流程: PsLoadImageNotifyRoutine监视到镜象加载(包括USERMODE和kernel mode的，ZwLoadDriver,ZwSetSystemInformation方式加载的驱动都会被拦截到）判断ImageInfo中SystemModeImage,如果是就开始拦截，算文件的校验，从PE头里取校验、TimeStamp,SizeOfImage,然后和一些预置的黑白名单对比如果没有对比出来，就置一个DriverEntryEvent，通知RING3 并开始等待DriverProcessedEvent RING3得到通知后调DeviceIoControl取镜象信息，和本地的名单对比后，得到处理结果用dev ctl送给RING0，同时置DriverProcessedEvent（这个操作是在dev ctl里，驱动给你做的，要注意的是，如果你要搞它的EVENT，它的event是在System进程上下文创建的，所以你用EVENT_ALL_ACCESS是打不开它的event的~注意权限问题~）,等待驱动置DriverClearedEvent，最后驱动置DriverClearedEvent，RING3继续循环等待DriverEntryEvent~ 三事件通讯系统~由于操作的共享数据是dev ext且未做数据同步，所以用了第三个事件（DriverClearedEvent)来做同步如果确定是要拦截的，那么会将加载的镜象的DriverEntry处patch成 mov eax , 0xc0000022 retn 8 导致加载不成功退出貌似没发现什么明显的空子可钻。要么就用device io control,但是会涉及它的device ext结构变化的问题~ 要么就改它本地的白名单库或者PATCH它的EXE，这个也是对版本有依赖要么就是ZwSystemDebugControl,这个用法就多了可以添加CallGate进R0，然后直接将它的NotifyRoutine给patch掉，或者是将PsImageNotifyEnabled这个全局变量置为FALSE 缺点是不支持2000、2003 SP1,而且某些HIPS或AV已经直接封了这个函数~（例如卡巴），当然网吧的话可以不考虑要么就是PhyMemory,类似上面的方法，添加CallGate,不过不支持2003 SP1，而且有AV/HIPS拦要么就是PageFile或SANDMAN,感染内存中的win32k等，添加shellcode进R0，好处是全平台通用，坏处是你找不到现成的代码：D 另外hotpatch也是可以的，因为这个驱动防火墙只会patch你的镜象的DriverEntry,而这对hotpatch没有影响。只是好象不支持2000，以及2003 SP2（？？）总之暂时没想到比较优美方法可以过这个~
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 22:59 0 [讨论]关于顺网的驱动防火墙下个个程序看了下，原来所谓驱动防火墙是抄了本人的360GuardField的方法~ 用PsLoadImageNotifyRoutine来监视驱动加载，对其进行PATCH，这样hotpatch是没戏的了
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 22:04 0 [讨论]关于顺网的驱动防火墙都可以。。。
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 2 关注私信	QIQI 1 2008-5-11 21:02 0 [讨论]关于顺网的驱动防火墙搞点通用的东西，不然太没意思

{{ user_info.username }}