|
|
|
[原创]使用VC创建 Windows NT 下的内核DLL 和 LIB
老毛子早就写过. 微点一直在使用. 楼主落后了. |
|
[原创]监控进程的启动的一种方法利用
好厉害,学习了 |
|
[公告]看雪网站十周年现场庆祝活动
支持~~~~~ |
|
[分享]AutoRun病毒的“自我防御”
你继续YY, 根本无效. |
|
[分享]AutoRun病毒的“自我防御”
再次跪小板凳学习. |
|
[分享]AutoRun病毒的“自我防御”
好厉害,学习了~ |
|
[推荐]2009第二届奇虎360软件安全大赛
链接至少能直接点开吧.还得复制到浏览器打开 ... |
|
[求助]求助键盘模拟输入过杀软
好厉害,学习了. |
|
[讨论]只要你能把程序给杀了或挂起了,就算你NB
本来准备调试一下的,拖到IDA一看,没有动态调试的必要了... 作者吹的比较凶,于是大致看了下: (1)_Ioctl_222010_ModifyThreadFlag_ 古老的DKOM的方式; 通过PsTerminateSystemThread得到thread cross thread flags的偏移,修改之 (2)_Ioctl_222014_StartProtect_ Hook_MiUnmapViewOfSection() - 防止卸载被保护进程的模块 Hook_PsSuspendThread() - 防止进程被挂起 Hook_KiInsertQueueApc() - 防插APC Hook_MmCopyVirtualMemory() - 防止写被保护进程内存(对csrss.exe放行,仅通过进程短名判断,雷~) 对以上4个函数的HOOK均通过硬编码寻址得到常规API的下层未导出函数地址,而后进行5~7字节替换. 过滤函数非常简单,比较是否是受保护的PID,EPROCESS. ProcessNotifyRoutine,ThreadNotifyRoutine,发现自己的进程/线程不是正常结束,就INT 3; 流氓一个. 创建了2个系统线程,处理R3传来的数据包,有个等待事件,没仔细看; (3)_Ioctl_222018_Test_Int3_测试用 (4) SSDT, Shadow SSDT HOOK 太古老就不多说了. --------------------------------------------------------- 搞它的方法太多了,分析结果在这儿摆着,想练手的自行解决.附件IDB,没加注释 |
|
[求助]ZW* hook的检测工具,谁有
试试Linxer大牛的这个工具... |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值