|
[原创]Call调用回溯跟踪工具
如果不是基于ebp来实现call堆叠分析,那除了用内存反汇编分析还有什么办法可以实现?请楼主大牛受我于渔吧? |
|
[求助]应用程序与驱动之间的通迅
写驱动当然用c语言写了,系统底层的东西基本都用c写的,所以选择c是最合理的 |
|
[求助]为什么写壳都用win32汇编
用C写更有框架,我甚至用C++也可以写的。 |
|
[转帖]白名单驱动过DSE驱动签名强制---有源码
附件怎么加密压缩了,密码是什么? |
|
[求助]关于重载内核重定位百思不得其解
如果 OrigImage 是原始内核地址 那 uRelocAddress 指向的数据必须已经被 用 OriginalImageBase 重定位过,这样的重定位需要先分析 uRelocAddress 地址的是代码或数据以及uRelocAddress指针指向的数据是指向代码或数据!...(很绕!) http://bbs.pediy.com/showthread.php?t=177555 这个帖子我收藏了,还没有去看。原来你是在看现成的代码啊!我建议先把PE格式理解透再看代码就不会有多少疑问的!最近看雪上有不少内核重载的帖子,但是原理应该都差不多。 |
|
[求助]关于重载内核重定位百思不得其解
我没有看过你的代码,但是从*uRelocAddress=*uRelocAddress+(OrigImage-OriginalImageBase); 可以得到理解: OrigImage 应该是新内核基地址 OriginalImageBase 应该是用CreateFile的方式打开PE头部的 ImageBase 值(ImageBase 我的理解是预加载基地址或愿望加载基地址)。 用CreateFile的方式自己加载新内核 uRelocAddress 就是文件地址也是运行地址,但是还要区分你是直接把整个PE文件数据读取还是把各个pe节按内存RVA模拟PE映像加载方式读取数据! 我对:“那么上面那句计算*uRelocAddress=*uRelocAddress+(OrigImage-OriginalImageBase);怎么就正确得到老内核数据地址的。。。 ”这个疑问的理解是:你是否可以理解PE中的几种地址表示:RVA 、预加载基地址、可执行内存映像模块基地址、PE编译地址、PE文件地址、文件偏移量、以及PE运行地址(这个PE运行地址是我个人观点,包括PE的VA(这个VA也包括PE编译地址和实际加载的PE中某个内存地址)和PE文件地址)? 我很扯,但是我认为理解好它们各种地址的意义和用途,很多问题都不用问就自己可以知道为什么。 |
|
[讨论]一个关于atapi irp hook奇怪的问题
你是不是想拦截磁盘的读写SRB? 其实对硬盘IO的IRP末梢在磁盘的端口驱动 atapi.sys (IDE接口硬盘、SATA硬盘) 但是也有磁盘的端口驱动是 Scsi.sys 的,再说磁盘的端口驱动我们也是可以修改为我们指定的驱动也并不一定是上面我所说的。 想知道 磁盘的端口驱动 IRP 最终到哪里去是需要对磁盘设备挂载堆叠关系的分析的。 至于你的驱动在你机器上可用但是到别的机器上无效,那你就用 DriverTree 看看 磁盘设备挂载堆叠关系 自然明白为什么了! 其实在以前 XP 系统我曾经用拦截磁盘端口驱动的读写SRB做系统动态还原效果还是不错的,现在用WIN7了,对磁盘的读写还用这种办法是不行的,因为早已经有其他的办法可以穿透了。 |
|
[分享]分享一个网盘,资源很多吆
资源我很想要,可是不给下载,不是钓口味!百度说下目录要百度云,结果安装百度云后还提示没有装,不给下! |
|
求购:寒江独钓:Windows内核安全编程
当年我有幸收藏了一本 |
|
[招聘]杭州艾朴软件招聘内核及驱动开发程序员
好想报名,我符合以下条件: 基本要求: 1. 痴迷技术,以编程为乐。(这条非常重要,如果你只是因为糊口而编程,那就算了) 1. 精通c/c++ (我只是很熟悉而已) 2. 熟悉汇编语言,有逆向分析经验.(逆向我还不行) 3. 学历在硕士及硕士以下(注意是以下,我们认为学历太高了,基本上不适合这份工作)(我只是初中学历) 如果你满足以下一条或者多条,优先考虑: 1. Windows 平台内核开发经验。 3. Windows网络过滤驱动。 4. Windows内核及应用层的HOOK开发。 加分项目: 1、 熟练阅读英文相关技术文档。(这个完全不行,我只认识abcd这26个字母) 3、 有看雪论坛、OSR论坛帐号。(只有看雪上的帐号了) 4、 了解一种或多种C语系之外的编程语言(例如:lisp)(我只会c、c++、汇编) |
|
[分享]两个半成品PE-DIY工具
我是用c++语言写你会c++语言吗? |
|
[分享]两个半成品PE-DIY工具
源码没有技术含量也不繁琐,谁都可以写出来。 |
|
[求助]如何加双层壳以后让正常运行
壳要加多少层都可以,关键是壳程序的实现是否允许在外部再加壳的问题。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值