Ta的论坛

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2020-2-22 20:55: 0

[翻译]Ring3/Ring0层Rootkit Hook检测技术（二）

supersoar 另外补图： 127K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0j5h3I4%4j5i4u0W2N6r3g2U0K9q4)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0y4Q4x3V1j5I4x3q4)9J5c8Y4u0A6L8X3M7K6i4K6u0V1M7X3W2F1k6K6m8Q4x3X3c8J5L8$3!0@1K9$3W2@1i4K6u0V1K9r3!0G2K9#2)9J5k6r3c8W2N6r3g2U0N6r3W2G2L8W2)9J5k6o6t1J5i4K6u0W2K9s2c8E0L8l9`.`.

感谢感谢

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-8-13 08:18: 0

[翻译]Ring3/Ring0层Rootkit Hook检测技术（二）

supersoar 感谢分享，思路总结好文没人回复啊

谢谢

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-6-1 18:08: 0

[翻译][翻译]Windows x64：XOR加密-逆向工程第二部分
因为doc文档会对图片进行压缩，降分辨率

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-6-1 18:06: 0

[翻译][翻译]Windows x64：XOR加密-逆向工程第二部分

欢歌笑语不知道为什么，图片会出现模糊的情况[em_17]，大家如果想看图片可以去原文链接看一下[em_46]

不要从doc文档里往外复制粘贴图片，而是向论坛上传每个单独的图片文件，这样清晰度能高一些

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-5-3 15:35: 0

[结束]看雪.京东 2018CTF（攻击篇）！Xbox等你拿！
支持支持

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-5-3 09:05: 0

[翻译]IDAPython-Book（Alexander Hanel）
感谢分享

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-4-19 16:37: 0

[分享] 选出一款你喜欢的看雪文化衫吧！
3

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-3-1 16:42: 0

[注意]《0day安全软件漏洞分析技术》剩余库存发货中……
要要要！好书必须留一本珍藏

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-1-8 10:18: 0

[翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook

tsoo "尾部绕过技术允许后处理，这对于在原始流程执行完毕之后对输出参数进行过滤十分有用。"X64前4参数在寄存器里面,  在函数尾部挂钩也没法过滤输出参数.&n ...

这里的输出参数我觉得是地址引用类型的参数，这种参数在x86和x64下都是可用的，另外我理解的是，可操作的项确实也包括返回值

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2018-1-3 18:07: 0

[翻译]初学Windows内核漏洞利用（三）：窃取访问凭证

地狱怪客额就是挖到一些任意地址写0的漏洞，不知道能干嘛用... 大概就是这样 --->>> https://bbs.pediy.com/thread-223604.htm

我具体研究一下，尽快给您回复

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2017-12-29 19:32: 0

[翻译]初学Windows内核漏洞利用（三）：窃取访问凭证

地狱怪客大佬问个问题，任意地址写0的漏洞能干吗呢提权不行吧

我没太明白您的问题，方便的话私信聊

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2017-12-28 18:03: 0

[翻译]初学Windows内核漏洞利用（三）：窃取访问凭证

地狱怪客感谢！拿去学习了

客气，加油！

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2017-12-14 22:27: 0

[翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook

萌克力的确特别骚..其实学习调试r0是非常有意思的事情比R3有意思的太多了...

嗯呢，想真正理解系统机制还是要深入进去看

木无聊偶

雪币： 1784

活跃值： (512)

能力值：

( LV12，RANK：310 )

在线值：

发帖

21

回帖

110

粉丝

31

关注

私信

木无聊偶 4 2017-12-14 22:26: 0

[翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook

Justgoon mark，win7 x64测试没成功，NtSetInformationProcess填充InstrumentationCallback失败，windbg里修改InstrumentationCallba ...

我觉得还是先在作者环境相同的win10下测试成功，再在win7下尝试，也有可能对shellcode地址有一定范围要求，这个需要实际试一下～

木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2020-2-22 20:55 0 [翻译]Ring3/Ring0层Rootkit Hook检测技术（二） supersoar 另外补图： 127K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0j5h3I4%4j5i4u0W2N6r3g2U0K9q4)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0y4Q4x3V1j5I4x3q4)9J5c8Y4u0A6L8X3M7K6i4K6u0V1M7X3W2F1k6K6m8Q4x3X3c8J5L8$3!0@1K9$3W2@1i4K6u0V1K9r3!0G2K9#2)9J5k6r3c8W2N6r3g2U0N6r3W2G2L8W2)9J5k6o6t1J5i4K6u0W2K9s2c8E0L8l9`.`. 感谢感谢
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-8-13 08:18 0 [翻译]Ring3/Ring0层Rootkit Hook检测技术（二） supersoar 感谢分享，思路总结好文没人回复啊谢谢
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-6-1 18:08 0 [翻译][翻译]Windows x64：XOR加密-逆向工程第二部分因为doc文档会对图片进行压缩，降分辨率
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-6-1 18:06 0 [翻译][翻译]Windows x64：XOR加密-逆向工程第二部分欢歌笑语不知道为什么，图片会出现模糊的情况[em_17]，大家如果想看图片可以去原文链接看一下[em_46] 不要从doc文档里往外复制粘贴图片，而是向论坛上传每个单独的图片文件，这样清晰度能高一些
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-5-3 15:35 0 [结束]看雪.京东 2018CTF（攻击篇）！Xbox等你拿！支持支持
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-5-3 09:05 0 [翻译]IDAPython-Book（Alexander Hanel）感谢分享
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-4-19 16:37 0 [分享] 选出一款你喜欢的看雪文化衫吧！ 3
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-3-1 16:42 0 [注意]《0day安全软件漏洞分析技术》剩余库存发货中…… 要要要！好书必须留一本珍藏
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-1-8 10:18 0 [翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook tsoo "尾部绕过技术允许后处理，这对于在原始流程执行完毕之后对输出参数进行过滤十分有用。"X64前4参数在寄存器里面,  在函数尾部挂钩也没法过滤输出参数.&n ... 这里的输出参数我觉得是地址引用类型的参数，这种参数在x86和x64下都是可用的，另外我理解的是，可操作的项确实也包括返回值
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2018-1-3 18:07 0 [翻译]初学Windows内核漏洞利用（三）：窃取访问凭证地狱怪客额就是挖到一些任意地址写0的漏洞，不知道能干嘛用... 大概就是这样 --->>> https://bbs.pediy.com/thread-223604.htm 我具体研究一下，尽快给您回复
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2017-12-29 19:32 0 [翻译]初学Windows内核漏洞利用（三）：窃取访问凭证地狱怪客大佬问个问题，任意地址写0的漏洞能干吗呢提权不行吧我没太明白您的问题，方便的话私信聊
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2017-12-28 18:03 0 [翻译]初学Windows内核漏洞利用（三）：窃取访问凭证地狱怪客感谢！拿去学习了客气，加油！
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2017-12-14 22:27 0 [翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook 萌克力的确特别骚..其实学习调试r0是非常有意思的事情比R3有意思的太多了... 嗯呢，想真正理解系统机制还是要深入进去看
木无聊偶雪币： 1784 活跃值： (512) 能力值： ( LV12，RANK：310 ) 在线值：发帖 21 回帖 110 粉丝 31 关注私信	木无聊偶 4 2017-12-14 22:26 0 [翻译]利用KPROCESS结构的InstrumentationCallback域实现Hook Justgoon mark，win7 x64测试没成功，NtSetInformationProcess填充InstrumentationCallback失败，windbg里修改InstrumentationCallba ... 我觉得还是先在作者环境相同的win10下测试成功，再在win7下尝试，也有可能对shellcode地址有一定范围要求，这个需要实际试一下～

{{ user_info.username }}