|
[转帖]简析利用调试寄存器实现内核函数的HOOK
无论如何 好文章始终要顶 __declspec(naked) void NewDBEntry() { __asm{ push ebp mov ebp,esp push [ebp+12] //EFLAGS Context push [ebp+8] //CS Context push offset Next // EIP Context jmp g_OldDBEntry Next: ... pop ebp iretd } } 不知这样如何? |
|
[原创]SEH记录小工具
多谢你看完这篇文章,多谢你的回复,确实用OD插件甚至OD脚本都能完成,至于用哪个是个人喜欢而已。LDT_ENTRY结构我是用RadAsm里面定义的,没有错。另外 fs:[offset]是对应本进程本线程来说的,不同的进程甚至不同的线程FS基地址都不相同,你总不会认为直接fs:[offset]可以访问其他线程的TEB? |
|
[原创]对抗OD内存断点
汗一个,早知就不献丑了。抢了南蛮妈妈的精华。 |
|
[原创]OllyDll 野猪力量
不是这个问题,插件加载需要OllyDbg.exe这个模块,OllyDll.exe改名(OllyDbg.exe)后即可加载,路径跟OllyICE的一样,不过释放时候某些插件可能导致进程崩溃,不是百分百安全 |
|
[原创]OllyDll 野猪力量
应该可以了... |
|
[求助]PostMessage什么时候处理消息?
PostMessage的参数不能包含指针 |
|
|
|
斑竹把这贴删了吧,,看来是误会!~~不好意思堕落天才
能在看雪上混的,还怕这东西?你逆向一下不就知道是不是木马了?看雪上的资料被报病毒都不知N次了,你又敢用?里面所用到的都是我在看雪上发的文章所说的技术,有时间你写个来看看咔吧会不会报木马? 请先调查清楚在说,好不好! |
|
|
|
|
|
[原创]必备绝技——hook大法( 中 )
楼主确实大量 |
|
[原创]必备绝技——hook大法( 中 )
用来传递服务ID 参数 标记等 寄存器都改变了 直接放上去不死机就怪 一般可以这样 pushad push fs push 0x30 pop fs //其他操作 pop fs popad jmp [d_origKiFastCallEntry] |
|
[原创]必备绝技——hook大法( 中 )
文章确实不错 但是感觉楼主只是直接翻译了<<Rootkits: Subverting the Windows Kernel >> 第四章The Age-Old Art of Hooking 的 Kernel Hooks !很多东西都是直接搬过来,代码一摸一样!我想这该是翻译而不是原创,因为少了一点楼主自己的东西! INT 0x2E 进入SSDT是win2k之前的事 winXP后是sysenter,楼主不如来一个拦截键盘中断 实现键盘记录之类的. sysenter hook的例子很简单地说明了原理,但实际应用要考虑的东西比较多,比如最简单的在MyKiFastCallEntry()添加一个DbgPrint 也不是直接放上去就行的.所以我觉得 如果楼主能根据自己的理解再使用自己的实用例子来解析就更好 说句实话 如有不敬 楼主见谅 另外说一句 <<Rootkits: Subverting the Windows Kernel >> 确实是一本不可多得的好书 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值