|
[分享]贴一些NTFS的相关函数
XCB大法光靠看CNTFS是不行的,很多东西NT4的代码里都没有~要看自己逆呀自己逆~ 而且XCB大法对NTFS/FASTFAT的驱动版本依赖性很强~需要分析所有的版本才能找到~ |
|
[分享]贴一些NTFS的相关函数
NT4SRC里有用的东西不少 呵呵 |
|
求教大牛们: PsSetLoadImageNotifyRoutine里patch 其他驱动DriverEntry蓝屏
disable write protect or use mdl |
|
|
|
|
|
[原创]打造自己的HOOK引擎 之一 --- SSDT HOOK引擎
用ExGetPreviousMode |
|
|
|
[原创]打造自己的HOOK引擎 之一 --- SSDT HOOK引擎
1.可能传一个无效BUFFER,例如0x00000001 3.可以在调用之前再做检查,或者在调用前检查下,减少几率,但100%保证安全是不可能的 因为世界上还有微点和瑞星的驱动程序员这么挫的人 |
|
[原创]打造自己的HOOK引擎 之一 --- SSDT HOOK引擎
粗看一下,问题至少有三处 (1).(ULONG)ClientId->UniqueProcess; 未经检查就使用了ClientId,发送0x00000001或者0x80000000等地址系统即BSOD (2).NTSTATUS ret = ObReferenceObjectByHandle(FileHandle, GENERIC_READ, *IoFileObjectType, KernelMode, (PVOID*)&pFileObject, 0); 完成后未降低引用计数 (3). return OldNtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); return OldZwSetInformationFile( FileHandle, IoStatusBlock, FileInformation, Length, FileInformationClass); 直接运行了函数开始时取到的地址,如果你的处理过程中发生了线程切换,当前SSDT表中的其他hook卸载了他们钩子,就会BSOD |
|
|
|
[原创]打造自己的HOOK引擎 之一 --- SSDT HOOK引擎
ssdt hook怎么不需要引擎了? 需要考虑到多个模块HOOK,即钩即用,随时卸载,方便管理,一个引擎是不可避免的 但其实“HOOK”不是关键,怎么做好分发、管理、稳定和灵活,才是关键 HOOK这件事本身是不需要一个引擎的,也不能用一个引擎来框起来 看看微软在VISTA ,WIN7内核里新引入的CALLBACK等等,就明白了 |
|
[注意]Ring3下调用ZwCreateFile,第二个参数配置真的很恶心
而且就算你遇到这个问题,只要稍微调试一下,甚至是打个debug信息,就能知道为什么了。不调试,活该你修代码修得要死 |
|
[注意]Ring3下调用ZwCreateFile,第二个参数配置真的很恶心
哎,同步都不知道要做还是别写程序了 |
|
|
|
|
|
|
|
[求助]让系统再次读取CMOS时间
HalGetBusData,BusType = 0 -> HalpGetCmosData |
|
[原创]大牛们都发代码了,我也来凑凑热闹吧 - 第二题
信息安全,内核驱动这玩意,完全是速成的,没什么深厚的经验,花点时间精力就变大牛了~ 随便胡弄几个网站,搞搞刷广告,DDOS,小远控的,也能成中国著名黑客了 随便看看WRK,抄几段代码,搞搞APC,HIVE的,也能成内核大牛了 随便抓点漏洞,抓点weak-point,就觉得自己的技术远超软件厂商,价值无限了 其实这些东西,只要有点底子,不浮躁,有点脑子,一个月的时间,谁都可以把什么FSD,DISK,NDIS,RK/ARK,bypass,vuln , 玩得天花乱坠~牛逼得不行。但是光靠点小聪明,是玩不长的 想要玩深了,想成为能硬碰硬的人物,就不是那么简单的了。呵呵。 有些人到了这个境界,有些人还差得很远。 从这次比赛就可以看的出来:有纯粹忽悠的,有初生牛犊的,也有深藏不露的,基本可以分为这么三种人 让我高兴的是,从这次大赛,我看到了很多以前从不认识的第三类人,膜拜+学习 ~ 另外,是不是真的技术牛逼,天下无敌,就能获得成功?这还远远不够,真要成功,技术顶多只能算上40%的因素。这里说的是实打实的、广义的技术,小聪明之类的,就免谈了。 |
|
[原创]360第五题,批处理解法
批处理的切换目录法实际就是rootdirectory法,两者没有任何区别 rootdirectory是最简单也是最早被人做出的方法 楼上的做法则是ZwCreateSymbolicLink的做法 |
|
[原创]360比赛第3题-我的解法
suspend法没什么。只是做成地址低16位比较就比较XX TX了~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值