Ta的论坛

{{ user_info.username }}

{{ user_info.brief }}

拉黑已拉黑关注已关注私信

头图
皮肤套装

使用

使用

主题(1) | 回帖(8) | 精华(0)

linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2014-10-8 17:03 0 [ReverseMe挑战赛]有没有2等级？？大牛啊，10月1号就弄出来了
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2013-12-20 10:24 0 ISC报道：20名“少年黑客”参加互联网安全大会去了，啥有价值的东西都没有
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2010-3-31 15:32 0 [求助]如何对抗发IRP删除文件(FAT32文件系统) 找到IRP没用，不知道怎么改IRP的标志:)我是劫持了FAT32的FatOpenExistingFcb和FatOpenExistingFile等打开文件的函数，不是文件过滤驱动，所以只能改IRP，不能返回，不知道怎么改IRP的标志位可以防止这种删除，NTFS下IO_STACK_LOCATION的flag改了能防止(sudami的HijackFile)，但相同的在FAT32下不行了
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2009-5-10 23:04 0 [求助]这是真的吗，现在的木马已经nb到这种程度了？没见过就不要说没有好么~只是搞bootkit既需要硬件知识，又要操作系统底层知识，所以搞的不多而已~~那个bin确实只是个演示~如果放真正实用的bin出来恐怕那作者就得进去了，并且在安全界引起轩然大波~~不需要物理接触的，只需要入侵成功得到管理员权限~这个不能算是主板的漏洞啊，本来现在的主板cmos就支持写，只需要改其中的一个位~~~
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2009-5-10 22:35 0 [原创]NTFS文件系统底层挖掘 1初始化自定义的链表结构，每个节点是要hook用到的context，节点结构为: typedef struct _funcContext{ PCHAR functionName;//函数名 PVOID originFunctionAddress;//原始地址 PVOID hookFunctionAddress;//hook函数地址，hook函数与原函数接受参数不一样，采用的call形式 PVOID callBeforeAddress;//上层函数调用本函数的call前地址 BOOL isHooked;//是否已经hook过 pfuncContext nextEntry;//单向链表指向下一个节点 PKSPIN_LOCK lock;//锁 }funcContext,*pfuncContext; 2ZwCreatFile打开要保护的文件，ObReferenceObjectByHandle得到文件对象，从而得到fscontext(scb)->fcb->mft号 3将函数ExAllocatePoolWithTag对应的插入链表结构中(MmGetSystemRoutineAddress得到ExAllocatePoolWithTag地址)，然后对链表中节点对应的函数进行hook，再开启一个系统线程，并等待。其中ExAllocatePoolWithTag对应的hook函数HookExAllocatePoolWithTag中 (1)判断参数1==10h&&参数2==20h&&参数3=7346744Eh即判断是否为NtfsCreateFcb所调用的,利用栈回溯分别得到NtfsCreateFcb和NtfsOpenFile的地址，将其放入全局变量中以备后来判断所用。 (2)得到NtfsCheckValidAttributeAccess的地址。方法是把NtfsOpenFile中call NtfsCreateFcb前的地址-70h，这样大概能保证该地址再调用NtfsCheckValidAttributeAccess之前，然后进行特征搜索得到NtfsCheckValidAttributeAccess地址，并建立相应节点，加入链表，hook函数为hookNtfsCheckValidAttributeAccess。 (3)将NtfsCreateFcb建立节点加入链表，hook函数为hookNtfsCreateFcb，设置事件激活系统线程。 4此时该线程结束等待，摘除ExAllocatePoolWithTag钩子，然后进行hook NtfsCheckValidAttributeAccess。在hookNtfsCheckValidAttributeAccess中，因为几个函数都调用NtfsCheckValidAttributeAccess，所以利用栈回溯得到上一个函数的地址，并和开始保存在全局变量中的NtfsOpenFile的地址进行比较，如果是则与NtfsOpenFile参数中mft号比较，看是不是自己要保护的文件，若是将参数中的fcb的cleanupCount=1，将FcbState中的FCB_STATE_PAGING_FILE清0.若上一个函数不是NtfsOpenFile，同样判断mtf号是否为要保护的文件,是则进行重定位到\\Test\1.txt 相应的同步操作和参数判断都没有提到~ps:我是菜逼，如有错误请指教~~
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2009-5-9 12:37 0 [原创]NTFS文件系统底层挖掘严重支持~~
linooo 雪币： 4 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	linooo 2009-5-9 12:28 0 [求助]这是真的吗，现在的木马已经nb到这种程度了？这是真的...理论个毛~~已经有了，不过，通用性不好，一般都只是针对某种类型的主板，譬如，phoenix的只能针对phoenix的，技嘉的就不能通用，不过，phoenix的资料较少，技嘉的资料多~你去搜搜，已经有人放bin了，就是启动后开telnet的~

{{ user_info.digests_3 }}

精华数

{{ user_info.rank }}

RANk

{{ user_info.golds == '' ? 0 : user_info.golds }}

雪币

{{ points }}

活跃值

关注数

粉丝数

{{ experience }}

课程经验

{{ score }}

学习收益

{{study_duration_fmt}}

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值

活跃值：

活跃值

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值