|
[原创]智能出自何方?铁证来了!
可以如此做: 1 linux作为启动前导,开机进入linux 实模式 2 linux实模式内核查杀病毒 3 linux 准备jmp 地址,让其重为windows引导区地址(此时可以把linux看作mbr或者grub),然后调用xxx切换到windows下,继续windows执行 http://hi.baidu.com/jonathan2004/blog/item/eeb8ec150e4e8019c93d6da5.html |
|
[求助]如何跳转到执行其他代码
如果是自己开发的代码,使用seh或者直接修改堆栈(了解如何编写溢出shellcode会有帮助)想跳到哪里就跳到哪里(代码就是执行流,控制住eip就有办法):跳出本函数可以,跳到其他函数可以,跳到其他函数内部某个位置也可以。就是可以跳到任意位置。努力 |
|
[分享]浅谈如何学习linux
说的太复杂了。 其实掌握核心的内核原理(如某种类型板卡硬件开发,操作系统启动过程(包括bootload),内存管理,进程管理,调度算法,文件系统,网络系统)就可以了,足够了,其他用到自然就会了。 一句话:简单,初学者不要被吓倒。原理很重要,已有的代码是原理最好实践,因此原理和实践相结合了,就这样。 不过建议切勿好高骛远,长城不是一天建成的,呵呵 |
|
[讨论]大家都是怎么样去调试嵌入式的系统
因为系统都是自己做的,包括底层的驱动,如硬件加密引擎,网卡驱动等等,没有任何调试手段. 我来说一个我们自己开发的调试手段: 声明一个全局变量, 然后把流程中所有需要关注的点都保存在全局变量中,最后打印出来. 优点: 这比较适合数据流比较长的情况,如网络数据包在防火墙中的流转, 这样方便跟踪数据包的状态; 一次打印, 不影响中间数据流的关于时间的统计; 打印位置关注两个地方: 数据流正常完成 出现异常, 在调用硬件打印堆栈之前打印信息. 缺点: 有时捕捉不到异常, 只有读堆栈了; 打印管理烦琐,工作量不小;有时误差很大,误道跟踪. 看来, 只有打印了. 那么其他看来有调试器,还有示波器之类,不错. |
|
[原创]SMM Rootkit初步 - 读写SMRAM(带你迈入CPU级Rootkit之门)
曾经看到一篇文章:Intel曾在2008年8月对SMM进行过一次BIOS升级修复,但问题依旧。 楼主很厉害啊。 从phrack中文章摘录的内容: Intel处理器手册卷三说明说明的四种模式转换: ------------------- SMI (interrupt) |->|Real Address Mode| -------------------------------------------| | ------------------- <----------------------------------| | | | PE=1 ^ PE=0 (requires ring0) or |rsm or | | v | reset |reset V | ------------------- --------- reset | | Protected Mode | -------> SMI (interrupt) ------> | SMM Mode | | ------------------- <------- rsm instruction <------ --------- | | VM=1 ^ VM=0 | ^ | v | |rsm | | ------------------- <----------------------------------| | |- |Virtual 8086 Mode| -------------------------------------------| ------------------- SMI (interrupt) (1) PE 和 VM是CR0里的标志位。 (2) 其他三中操作模式在SMI中断都可以切换到SMM模式。 (3) SMM模式通过发出一个rsm指令返回到前一个操作模式。 (4) rsm指令只有smm模式中使用。 (5) SMM里分页机制不可用, 但可以访问所有物理内存。 (6) SMRAM开始于SMBASE,占0x1FFFF 字节(如使用扩展的SMRAM,这个数值将更大). SMBASE默认为0x30000, 实际上是0xA0000(视频卡的I/端口也重定向到此地址) (7) 内存控制Hub有一个称为SMRAM控制寄存器. ----------------- SMBASE+0x1FFFF | | | | | | | | SMBASE+0xFFFF ----------------- | | | State save area | | | SMBASE+0xFE00 ----------------- | | | Code,Heap,Stack | | | SMBASE+0x8000 ----------------- ----> First SMI Handler instruction | | | | | | SMBASE=0xA0000 ----------------- 也上传一个pci管理库,开源的代码,可以支持windows,linux等。我在linux使用的,不知道windows支持怎么样,大家看看,还有源代码哦! 把zip 后缀改为tgz,然后解压缩。 |
|
[原创]发现隐藏的rootkit方法总结
你是高手,但是你觉得这么说有意义吗?虽然我没有讨论过OBREFERENCEOBJECTBYHANDLE问题,但是那个帖子我的确出了错。 希望我列出的旧的技术能够引出更好的技术或者发展的方向性的介绍,也算是达到一个目的。 这里高手太多,以后我只有禁言了。 |
|
[原创]发现隐藏的rootkit方法总结
1 首先我没有说IPD可以完全控制,而是表达有这个技术。“但是这样方式可以使用 \\DEVICE\\PHYSICALMEMORY来躲过检查”就是说可以躲过使用ipd 来检查。 2 第二我不是再说总线方式可以检测所有的,是说可以通过总线方式检测到bootkit。 3 我没有明白进程加载检测什么意思。我从头到尾没有表达过这个意思。 4 我没有说国内落后,有必要对人来采取攻击吗?这里我说的行为检测并不是你理解的意思。而是国外有人更具这个思想曾经实现的一个检测工具。不过也可能我 理解错误的。 5 我所列出一些检测方面不代表每一种可以检测到,而是是可以从这些方面去考虑。 6 关于技术我们可以理解不同。也许你们说的要必须写出opcode来才算技术。如果从这个角度出发,也许再系统架构中所谓的模态构建软件系统之类的技术就不叫技术了,因为他很笼统。 7 承认比较技术比较老,而且也没有说这些都是最新的技术,所以叫小结。希望大家把新的补充一下,也好学习一些。 8 关于一些人对我说的话不满意,那我收回。谢谢指教。 9 我希望大家把这个讨论到此为止。如果你对anti 有什么新的见解,可以提出来供我等小牛学习。 其他毫无意义的评论我感觉没有必要再争论下去。如果大家认为我说的太无礼,这里赔不是。然后我删除此贴。 |
|
[原创]发现隐藏的rootkit方法总结
请问可笑再哪里,请指教? 我感觉没有看懂真的意思,请慎重发表意见。 1 内存数据可以被shadow walker类攻击隐藏,而磁盘文件就更不用说了。 所以我说这种方式有局限,存在弱点。 2 Ipd检查,不知道不代表没有。请到antirootkit网站自己找资料。 3 bootkit依然可以检测出来,不是绝对的隐藏掉自己。总线方式就可以检测磁盘穿透问题,其他内容具体方法 google就可找到。 4 5,6 是说再通过ssdt检测时,必须考虑到所有可以加载进程的接口。这个考虑可以去rootkit里面检测部分找到答案。 5 dkom技术上面已经提到。这里只是说检测可以从那些方面综合入手,不是技术的积累,是大的方向问题。 6 行为判断,国外已经有现成例子早做这方面的研究。为什么国外在研究,而国内再等待技术?自己找原因了,态度是重要一环。 这里总结是从哪几方面可以检查到rootkit的存在,而不是具体技术的讨论。要做到anti rootkit,很多方面都需要考虑。我考虑的比较狭窄,还请高手们多指点。 技术归技术,说的不对的地方谢谢指正。不过还是再读懂要说明的意思后再发表攻击性言论。 |
|
[原创]另类挂钩-RING3数据包监视
1 承认你是高手。 2 既然是高手,就应该很明白我说的意思。我的意思是NtDeviceIoControlFile是NtDeviceIoControl 的wrape(现在收回这句话,因为我没有验证这是否是正确),当时不过是漏洞了Nt两个字母,但如果是高手的话应该能明白我表达的意思。不过我还是接受批评,毕竟造成了误会。 来这里是为讨论技术,而不是来讨伐人。 3 本人做安全已经6年了,驱动写了无数,但我承认还得继续学习。 4 本人喜欢讨论技术,但讨厌人身攻击。 |
|
关于TCP连接中使用KeepAlive来判断网络是否断开的问题
1 尽量不要用keepalive,不准确或者不好试.而且默认是2个小时. 2 使用心跳机制判断是否在线.因为client端由于网络设备,或者计算机crush,不会通知服务器socket已经关闭. 3 GetQueuedCompletionStatus: 这是完成断口. 你都没有做任何recv或者send操作,不知道要等待什么? 等待的问题是流程有问题. |
|
|
|
[求助]看《Windows驱动开发技术详解》 上面碰到的几个问题
1 先读后写 2 在调用历程中这样处理: 初始化事件,一般防到OBJECT中 设置回调 调用下一层处理 if(调用正确) { 返回 } else if(pending) { 等待事件 } 回调函数: 设置事件 这样达到穿性话。此类问题建议到驱网去问问比较好 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值