|
|
|
[求助]如何用汇编强制删除文件
强删文件: 1.被HOOK保护文件:摘HOOK,摘链,饶过filter,DISK操作,磁盘IO操作等 2.被权限保护的文件:RING0删除 3.独占文件: (1).dup and close handle (2).XCB fuck (3).open with FILE_READ_ATTRIBUTES ,and send IRP (4).disk erease 4.section,运行中文件: (1).hook MmFlushImageSection (2).zero FileObject->SectionObjectPointer->ImageSectionObject 5.写回文件: (1).file_read_attribtues 删除法站坑 (2).其他站坑方式,文件夹站坑,等等 (3).关机shutdown notification删除 |
|
[求助]如何获取已知ID的进程的主线程ID?(谁来编译一下8楼,谢谢啊)
快照中第一个线程不一定就是主线程,呵呵 |
|
[求助]父进程和子进程
可以,eprocess->parentprocessid |
|
[分享][下载]让所有ssdt(shadow) hook(inline)失效
fsd hook ?最后一招?这个笑话真无聊 INLINE hook做一些间接跳转或者处理就可以绕过RKU的检测,但不能绕过GMER的 |
|
[求助]驱动中调用GetCurrentProcess,该怎么声明?
驱动中使用IoGetCurrentProcess |
|
[求助]Delphi禁止ctrl+alt+del与Alt+TAB等的问题
楼上的显然没实验过就出来胡说八道,三键是没那么容易屏蔽的,不受键盘钩子影响 可用的屏蔽方法有注入WINLOGON,或者键盘过滤驱动,hook RawInputThread等 |
|
[求助]如何获取已知ID的进程的主线程ID?(谁来编译一下8楼,谢谢啊)
没有办法,除非你在创建的时候监视 |
|
[原创]向非ATTACH的DEVICE转发IRP(VIRTUALDISK)
了解WINDOWS设备栈的原理就不会被MS弄出的这些概念忽悠了而写出如楼主这样浅薄的代码~ |
|
|
|
[原创]DLL劫持USER32
马甲DLL法其实还可以用manifest, config文件做,而且比local更难防御 |
|
[原创]用户模式APC蓝屏分析报告
第二个蓝屏貌似的确是win32k的BUG, csrss如果调messagebox就会挂掉~ |
|
|
|
|
|
[分享][下载]让所有ssdt(shadow) hook(inline)失效
果然没什么意思 这种无聊的HOOK技巧GF里可以找到无数种~ |
|
|
|
[原创]用户模式APC蓝屏分析报告
第一个蓝屏是CRITICAL_OBJECT_TERMINATION~CRITICAL process退出~ 第二个蓝屏除非你触发了0DAY~ 什么叫“这也说明了利用APC可以执行任意地址的代码,而不是固定的在某个位置崩溃。“ 这纯粹是搞笑嘛 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值