|
[原创]R3读文件获取原始SSDT Shadow里地址
无语了,我用vista sp2就可以, 但用xp悲剧的返回0 但xp下用ImageLoad PLOADED_IMAGE pLoad = ImageLoad("win32k.sys",NULL); 这样就可以 |
|
[原创]R3读文件获取原始SSDT Shadow里地址
晕 我怎么就行,加载到自己的内存,返回值hmodule是你进程用户态的地址~~(比如0x01020000) |
|
[原创]R3读文件获取原始SSDT Shadow里地址
LZ都说是用户态加载了........试试更健康 |
|
[原创]R3读文件获取原始SSDT Shadow里地址
晕。。。你自己试试就知道了 |
|
[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易!
花时间去修改一个demo的兼容性还不如自己写一个兼容性好的东东,demo只是用来看看就好了 |
|
[原创]小菜也学内核笔记---前提知识
任务切换是硬件的,xp不用,进程切换是操作系统处理的 |
|
[翻译]Metasploit:重现犯罪场景
严重支持!~正在看vadroot的资料.... |
|
[求助]讨论如何完全隐蔽后台程序(用于正常商业行为)
还不如注册个正牌服务了,既然不是恶意程序,何必费那么大劲隐藏自己,依楼主的描述状况来看,要搞成估计需要不少时日。。。 |
|
[讨论]只要你能把程序给杀了或挂起了,就算你NB
只要能加载驱动,似乎就没有解决不了的进程。。。 |
|
|
|
|
|
[求助]获取Shadow SSDT函数名的问题
PDB很和谐....要不就从windbg复制吧=。=||| |
|
[分享]全新原创Anti-rootkit软件SysReveal,欢迎试用
其实吧 ark这东西,做做无非是想锻炼锻炼自己编程能力,真说能有什么用,其实也就那么回事,毕竟ark在明处,攻击者在暗处,一旦攻击者的代码加载,干掉谁也不是没可能的事情。再说了,你弄个ark,一般用户也看不懂,大多数人还是只会用卡巴杀杀毒,主动防御都用不好,更别说用ark 查查有啥ssdt hook了 首先觉得LZ做这个很不容易,只有真正写过类似工程的人才能体会吧,不像写个驱动Hook点函数那么容易。所以说“你这个跟XX方法一样,跟XX差远了”之类的话,未免有点打击人。 然后觉得兼容性稳定性其实是最重要的,充分测试还是必须得,这比多加更多的功能更重要。 最后还是支持楼主。 |
|
[求助][求助]小菜鸟的蓝屏体验
不看dump 难道一行一行查代码啊。。 |
|
[原创]用移动梦网整人的方法
玩阴的就别沾钱,一但沾钱闹大了收不住 |
|
[原创]鼠标修复软件2.0,IRP HOOK实现(开源)
我是来下代码的~谢谢分享 |
|
|
|
[原创]编译歪理
LZ第一贴的话挺棒的,深有感受啊。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值