|
|
[讨论]PNHookApi v1.00.07新加脱壳部分,欢迎测试,大家多给意见!
汗, 有些BUG, 隐藏进程检测不到, 结束进程就是简单的调用TerminateProcess, 对付一般的HOOK都不行啊... 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[求助]文件编辑方法的不同区别。。
OpenFile() 打开文件句柄, ReadFile() 读入文件数据到缓冲区. 这2个API 都是在实际内存中进行操作的. 而内存映射 与虚拟内存相似, 节省了系统页文件空间,速度快,可用于进程间共享数据... 不懂的查阅SDK 
|
|
|
|
|
|
[求助]About "Hybrid Hooking "
哦, 还不如直接分析EAT, 汗, 那差不多都是RING3的东西了, RING0的程序随便检测一下就咔嚓掉了... 不过也就是了解下这种方法的原理了,嘿嘿~ ----------------------------------------------------------------------------------- 不过 <Rootkits: Subverting the Windows Kernel > 一书上就是这么写的,而且代码里面也是这样的, 难道是书上错了啊? |
|
|
[求助]About "Hybrid Hooking "
1. 偶HOOK的就是IAT,不需要HOOK EAT. PE装载器在装载一个程序时, 会把它相关的DLL装入进程的地址空间中, 再根据程序的引入函数信息,在相关DLL中查找其真实函数地址. 所以要HOOK kernel32.dll中的 TerminateProcess (而且此书上就是HOOK 的IAT) 2. 看来大叔没有明白偶描述的意思; RtlCopyMemory((PVOID)d_sharedK, new_code, 8); The kernel address, 0xFFDF0000, and the user address, 0x7FFE0000, both point to the same physical page. The kernel address is writable, but the user address is not. Your rootkit can write code to the kernel address and reference it as the user address in the IAT hook. 所以其实是在RING0下修改IAT, 同一物理内存被映射到2个区域, 内核模式下修改后,在用户模式下直接调用. 区别只是前者可写,后者只读; 所以不是JMP到内核里去,而是本来就是在用户模式下执行JMP的啊 
|
|
|
|
|
|
|
|
|
[分享]一本好书,Professional.Rootkits
根本不可能打开eviloctal的网址, 已经被攻击长达几个月之久了. 真不晓得LZ是怎么下载的.... 还是看看<Rootkits:Subverting the Windows Kernel> 和 <Windows Internals>得了...
|
|
|
|
|
|
[讨论]一VBS病毒过IS和微点了,无语...
能大致读懂,但里面MS没有释放驱动和隐藏进程的代码... |
|
|
[讨论]一VBS病毒过IS和微点了,无语...
恢复了SSDT还是隐藏着啊... |
|
|
[原创]Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名
LZ的代码忘记了隐藏CPU时间片, 100%... 功能太低级了啊,要是进程名变了就不行了. 还是找到要隐藏进程的EPROCESS地址, 然后比较之, 再断链比较好~~~ 可是断链已经被用烂了~555 |
|
|
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
