|
[招聘]深圳腾讯电脑管家招聘安全研究员、反病毒工程师
dami赶快把手里的股票清理一下 找家土豪跳了吧 |
|
[原创]windows平台下的高级shellcode编程技术
版主看看 能不能把我们清理一下的回复给删掉 或者怎么删掉啊 留着总是不好看的样子 |
|
|
|
|
|
|
|
|
|
|
|
|
|
[原创]windows平台下的高级shellcode编程技术
目前内存加载应用的时候可能存在的问题 dll里面有SEH 恶意代码为了实现多协议 TCP UDP DNS ICMP http 其中UDP通讯 为了用UDP稳定的传输大文件 用了UDT的库 UDT的库里面大量使用throw来抛出异常 或者说shellcode 用了BPE32 做了一下多态 BPE32使用SEH做自解密 单纯做dll内存加载没有问题(自己写EXE设置为不兼容dep) 做白利用的时候 白exe+恶意dll+shellcode.bin(是一个纯shellcode或者dll2shellcode的内存加载) 其中白EXE 默认兼容DEP(VS2003之后默认都有safeseh+兼容DEP设置) 由于safeseh的关系 你的黑dll(读进来dll2shellcode的 支持多协议的恶意代码主体 内存加载后跑一会 ) 由于safeseh配合dep的关系EXE进程就退出了 求指教 怎么能做更完善的内存加载避免被safeseh配合DEP强行终止进程 我试过 使用SetProcessDEPPolicy 或者ntsetinformationprocess也无法避免safeseh 配合dep强行终止进程的问题 因为内存加载使用的是堆上的内存并且内存区间还不在.text段申请的堆内存的区域 除非你在编译的时候把exe那个不兼容DEP的选项勾选上或者你就是一段纯shellcode 放在.text段。 但是为了在UAC存在的情况下做启动项exe一定要是白的。没有办法用自己的不兼容DEP的exe |
|
[原创]windows平台下的高级shellcode编程技术
累 不写了... |
|
|
|
[讨论]那些年搞驱动的那些坑_欢迎补充
理解可能有点偏颇 我说的是RaiseIrql 到dispatch_ level 甚至是 high_level 不是说每个核都给投递一个DPC 我的意思是IRQL的概念 解决不了多核心上的同步 IRQL只与当前核相关 一厢情愿的提高IRQL 对其他核是没用的 |
|
[讨论]那些年搞驱动的那些坑_欢迎补充
实际上就是这么回事多核同步的时候 DPC 对应的dispatch_level 无法hold住其他CPU lock指令显然对多核和多CPU都OK 但是一次只有8个字节 自旋锁又是一个核上的那个线程的一厢情愿 由于其他CPU都是可调度的 即使是lock 指令将你修改的那个内存地址不允许别人来窜门了 inline的时候 但是别的CPU 的EIP可能 指向或者说执行到你刚写完E9 1. inline hook 一般是 5 个字节, 总之一般不超过 8 个字节, 我们可以找一条能够一次操作 64bit 的指令. 问题是, 真的存在这样的指令吗? (lock xxx, movq xxx, mmx) 不知道 cpu 执行它的时候, 是一次完成的呢, 还是用了一段微程序分步完成. (我们的 cpu 是 32bit 的~) 即使存在这样的指令, 也不安全. 假设被 hook 的指令是这样的: mov edi, edi push ebp mov ebp, esp 这是一个典型的函数开头. 我们假设 cpu0 执行到 push ebp 这一条指令 (eip = $+0x2). 这个时候 cpu1 执行传说中的 move_qword 指令: movq [$+0x0], mm0 其中 mm0 中包含这样的指令: jmp 12345678, 其机器码是 E9 AABBCCDD. 问题出现了. 当 cpu1 执行完这一条指令的时候, cpu0 的 eip 指向如下字节流: BB CC DD XX XX XX. 结果显然是系统崩溃. 这两个帖子归在一块好了 http://bbs.pediy.com/showthread.php?t=78099 |
|
[讨论]那些年搞驱动的那些坑_欢迎补充
多核心上DPC 对应的Dispatch_level可不够 单核心上OK |
|
[讨论]那些年搞驱动的那些坑_欢迎补充
......好吧 技巧2 先suspend起来 有什么再继续空当接龙 技巧3 技巧4 继续补充占坑 |
|
[讨论]那些年搞驱动的那些坑_欢迎补充
蓝的时候报什么错误 |
|
[讨论]那些年搞驱动的那些坑_欢迎补充
得A一下 看看某淫搞KiFastCallEnry 号称的10亿级别用户稳定性怎么写的啊 坑还是比较多啊 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值