|
|
|
[求助]获取Shadow SSDT函数名的问题
自带一个RKU什么的,启动一下,从它的窗口里取一下名字 |
|
[已解决]WinDbg调试Kernel32函数问题
.reload /user也可以试试 |
|
[求助]兰飞QQiPPro 技术分析
鄙视标题党,无视飘过! |
|
[已解决]WinDbg调试Kernel32函数问题
kernel32没有一个函数叫做CreateProcess,只有CreateProcessA或CreateProcessW 你可以用 x kernel32!CreateProcess*来查看以CreateProcess开头的函数 |
|
[分享]Ring3下WX方法结束微点2009
靠这种遮遮掩掩的方式发版本只能说水平太低,信心不足。这么下去注定是没有前途的 呵呵 |
|
[分享]Ring3下WX方法结束微点2009
不就是不写入SHELLCODE执行代码么,执行任意一个代码,甚至是PAGE_NOACCESS的,就可以目标进程崩溃了~ret2libc的类似思想,微点没拦截这个只能说是比较弱智,不能说这个方法WX |
|
[分享]Ring3下WX方法结束微点2009
创建错误远线程和创建特殊API结束没什么本质区别了,没觉得哪里WX了。 |
|
[分享]Ring3下WX方法结束微点2009
另外,楼主的中间的代码显然有点脱了裤子打屁的意味。何必要自己解析PE再writeprocessmemory呢?自己CreateSection再map进来,数行代码即能完成 父进程劫持是一种很常用的攻击手段,其实没必要unmap section再remap,还有其他数种利用方法,另外,微点没有拦截进程获取process_create_process权限,因此可以用父进程劫持的思想,构造一个不是由微点创建的微点子进程~方法很多了,能说出来的,都不算WS~ |
|
[分享]Ring3下WX方法结束微点2009
微点的拦截机制其实很土,尚没有做到数据驱动,因此只能对付很小的一部分已存在的木马。 因此绕过方法就很多了。这种傀儡进程技术早在04年就有人写了(或许更早,我好像见过一个02年的代码),算是比较常规的手段了,算不上什么WS PS:用类似的手法伪装系统进程或360进程,是不能绕过360安全卫士的 ;) |
|
[原创]分析了一下360安全卫士的HOOK
good job,看了楼主的分析,比较准确。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值