[求助]泄露的VMP源码中runtime如果重新编译并嵌入vmp主程序？

拍拖 总算有人摸到关键点了。我只试验了32位的运行时库版本，用自己编译的win_runtime32.dll用core目录下的runtime.vmp生成对应的win_runtime32_dll.inc后编译V ...

是VS2015过度优化的问题——哈哈哈

[原创] 精确逆向windows未公开函数 RtlpGetAssemblyStorageMapRootLocation

NTSTATUS
RtlpGetAssemblyStorageMapRootLocation(
    HANDLE KeyHandle,
    PCUNICODE_STRING SubKeyName,
    PUNICODE_STRING Root
    );

NTSTATUS
RtlpGetAssemblyStorageMapRootLocation(
    HANDLE KeyHandle,
    PCUNICODE_STRING SubKeyName,
    PUNICODE_STRING Root
    )
{
    NTSTATUS Status = STATUS_SUCCESS;
    OBJECT_ATTRIBUTES Obja;
    HANDLE SubKeyHandle = NULL;
    ULONG ResultLength = 0;

    struct {
        KEY_VALUE_PARTIAL_INFORMATION kvpi;
        WCHAR Buffer[DOS_MAX_PATH_LENGTH];
    } ValueData;

    static const WCHAR ValueNameBuffer[] = L"Location";
    static const UNICODE_STRING ValueName = { sizeof(ValueNameBuffer) - sizeof(WCHAR), sizeof(ValueNameBuffer), (PWSTR) ValueNameBuffer };

    if ((KeyHandle == NULL) ||
        (SubKeyName == NULL) ||
        (Root == NULL)) {
        Status = STATUS_INVALID_PARAMETER;
        goto Exit;
    }

    InitializeObjectAttributes(
        &Obja,
        (PUNICODE_STRING) &SubKeyName,
        OBJ_CASE_INSENSITIVE,
        KeyHandle,
        NULL);

    Status = NtOpenKey(&SubKeyHandle, KEY_QUERY_VALUE, &Obja);
    if (!NT_SUCCESS(Status)) {
        DbgPrintEx(
            DPFLTR_SXS_ID,
            DPFLTR_ERROR_LEVEL,
            "SXS: Unable to open storage root subkey %wZ; Status = 0x%08lx\n", &SubKeyName, Status);

        goto Exit;
    }

    Status = NtQueryValueKey(
        SubKeyHandle,
        (PUNICODE_STRING) &ValueName,
        KeyValuePartialInformation,
        &ValueData,
        sizeof(ValueData),
        &ResultLength);
    if (!NT_SUCCESS(Status)) {
        DbgPrintEx(
            DPFLTR_SXS_ID,
            DPFLTR_ERROR_LEVEL,
            "SXS: Unabel to query location from storage root subkey %wZ; Status = 0x%08lx\n", &SubKeyName, Status);

        goto Exit;
    }

    if (ValueData.kvpi.Type != REG_SZ) {
        DbgPrintEx(
            DPFLTR_SXS_ID,
            DPFLTR_ERROR_LEVEL,
            "SXS: Assembly storage root location value type is not REG_SZ\n");
        Status = STATUS_OBJECT_PATH_NOT_FOUND;
        goto Exit;
    }

    if ((ValueData.kvpi.DataLength % 2) != 0) {
        DbgPrintEx(
            DPFLTR_SXS_ID,
            DPFLTR_ERROR_LEVEL,
            "SXS: Assembly storage root location value has non-even size\n");
        Status = STATUS_OBJECT_PATH_NOT_FOUND;
        goto Exit;
    }

    if (ValueData.kvpi.DataLength > Root->MaximumLength) {
        if (ValueData.kvpi.DataLength > UNICODE_STRING_MAX_BYTES) {
            DbgPrintEx(
                DPFLTR_SXS_ID,
                DPFLTR_ERROR_LEVEL,
                "SXS: Assembly storage root location for %wZ does not fit in a UNICODE STRING\n", &SubKeyName);

            Status = STATUS_NAME_TOO_LONG;
            goto Exit;
        }

        Root->MaximumLength = (USHORT) ValueData.kvpi.DataLength;
        Root->Buffer = (PWSTR)(RtlAllocateStringRoutine)(Root->MaximumLength);
        if (Root->Buffer == NULL) {
            Status = STATUS_NO_MEMORY;
            goto Exit;
        }
    }

    RtlCopyMemory(
        Root->Buffer,
        ValueData.kvpi.Data,
        ValueData.kvpi.DataLength);

    Root->Length = (USHORT) ValueData.kvpi.DataLength;

    Status = STATUS_SUCCESS;

Exit:
    if (SubKeyHandle != NULL) {
        RTL_SOFT_VERIFY(NT_SUCCESS(NtClose(SubKeyHandle)));
    }

    return Status;
}

[原创]共享段攻击 Shared Sections' Attacking
老外也发现了这个秘密
https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/

[分享]应对网络攻击减少数据丢失的3种关键方法

据说在C盘根目录建一个system权限才能read的flag.txt 内容写个随机的RW{xxxx-xxx-xx}就可以免疫被黑。

以上只是个玩笑

[原创]VMPStudio-1.0正式版，再也不用找IDA泄漏版了
路过一下，开源站上做发布，有点意思，挂个网盘不好么？为什么非要在gitee上做发布呢？既然没有开放源码那么尊重一下开源站不好么？

[原创]某6789安全卫士核心功能之InfinityHook （抄，我疯狂的抄）

wowocock 18950预览版已经把InfinityHook愉悦送走

欢声笑语中打出GG,用了8年的hook点被老外一朝爆料全部升天

[原创]从内核创建用户态线程
VOID InformCsrss2(HANDLE hThread, ULONG pid, ULONG tid)
{
    struct CSRSS_MESSAGE {
        ULONG Unknown1;
        ULONG Opcode;
        ULONG Status;
        ULONG Unknown2;
    };

    struct {
        NT::PORT_MESSAGE PortMessage;
        CSRSS_MESSAGE CsrssMessage;
        THREAD_INFORMATION ProcessInformation;
        NT::CLIENT_ID Debugger;
        ULONG CreationFlags;
        ULONG VdmInfo[2];
    } csrmsg = {{0}, {0}, {hThread, pid, tid}, {0}, 0, {0}};

    NT::CsrClientCallServer(&csrmsg, 0, 0x10001, 0x24);
}

[转帖]Windows远程桌面服务的远程代码执行漏洞（CVE-2019-1182）分析
POC呢？

[讨论]GDI 底层实现.

BDBig 关于设置UI线程问题。 PVOID NTAPI PsGetProcessWin32Process(PEPROCESS Process); NTSTATUS NTAPI PsSetPro ...

操作太秀

[求助]Windows下如何通过service进程启动桌面进程绕过UAC
提权其实可以不弹框，只要有cpuz就好

[讨论]杀完盗版 杀外挂！Irdeto正式公布“D加密反作弊”系统
denuvo...其实不行

[分享]GHIdra终于发布了
因为公开版没有很多东西，NSA开源只是框架，核心插件没有扔出来。

[讨论]强烈吐槽《Windows 黑客编程技术详解》

wowocock WIN10以后不能用文件拷贝方式来DUMP HIVE,需要用微软的函数来DUMP ,比如NtSaveKey.

ntlmdump表示不服

[讨论]强烈吐槽《Windows 黑客编程技术详解》

tdsss cvcvxk Hive解析用offreg.dll治百病 这个东西要随着系统更新，WIN10一旦更新，你就要更新DLL，否则无法解析新版系统的HIVE ...

offreg.dll在win10上是随系统更新的，system32目录下的啊

[讨论]强烈吐槽《Windows 黑客编程技术详解》
Hive解析用offreg.dll治百病

[推荐]推荐一个老外写的ARK 支持预览版WIN10系统 还有各种RK功能

tdsss PYGame 这回答６６６　让老ｖ打脸了　哈哈 打脸？汗，我以为他的言下之意是，Pchunter是开源的，所以我才问他源码在哪里下载。 cvcvx ...

主要是PChunter有签名，代码我表示可以跟作者要。

[推荐]推荐一个老外写的ARK 支持预览版WIN10系统 还有各种RK功能

又出bug了 lz好人，正缺一个ark工具。。看到github很开心，以为有源代码。。。。实际上就一个bin

以为有代码，结果并没有。继续用Pchunter

[原创]使用模拟器对x64程序进行分析
我沉迷ExRegisterExtension了，我表示真香

[原创]win10_arm64 驱动注入dll 到 arm32程序

wowocock 真有人买智商测试机的高通骁龙电脑？

智商感人