Ta的论坛

头图
皮肤套装

使用

StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2025-10-28 17:38 0 [原创]移动安全联盟(libmsaoaidsec.so) 绕过知识学习
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2022-5-28 20:47 0 [讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2022-5-26 20:58 0 [讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-12-4 14:38 2 [原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG) [SharpOD v0.6d Stable] 更新日志 1.增加对VMP3.5.1的反调试处理 2.更新驱动签名和修复了一些驱动问题 3.修复了很多BUG [SharpOD v0.6c beta] 更新日志 1.增加处理 vmp3.5反调试 2.修复ThreadHideFromDebugger 参数处理bug 3.修复 win10 bypass objectcallback(PsProcessType & PsThreadType) 触发PG BSOD 4.增加处理 PEB_ProcessParameters 5.增加处理 ProcessDebugObjectHandle，参数3、5 一样情况下，打开的调试对象句柄泄漏问题 6.修复win10系统硬件断点保护问题 7.update pdk 8.修复x64dbg标题被检测问题 (Themida 3.x & Winlicense 3.x) 因为附件无法传大于8M的，网盘下载地址：链接: 1aaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4z5q4A6e0P5X3!0Q4x3X3c8d9b7U0M7@1y4q4)9#2k6Y4m8f1d9V1&6e0K9X3!0G2e0i4M7`. 提取码: 93vn
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-5-27 13:05 0 [原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG) 这个问题修复了，有个测试群，如果有空加入一起测试的话可以来，群号980966843
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-4-6 17:31 0 [讨论]内存加载任意exe，即使无重定位 193K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K9k6i4t1H3e0h3g2E0x3s2u0&6i4K6u0r3f1Y4g2F1f1p5f1`.
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-2-3 22:45 0 [求助]谁有64位的msbuild,替换VS自带的msbuild 没区别，主要看你指定的参数 msbuild.exe ./xxxxx.sln /p:Configuration=Release;platform=x64
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-10-16 14:14 0 [原创]反截图技术的原理及简单实现 PlaneJun 看了一下，也是SetWindowDisplayAffinity SetWindowDisplayAffinity不是关键，关键的是dwm的aero特征。最后于 2020-10-16 14:14 被StriveXjun编辑，原因：
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-10-15 18:18 0 [原创]反截图技术的原理及简单实现你可以去逆下 screenwings 看看怎么实现的。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-9-11 09:50 0 2020看雪安全开发者峰会正在火热进行中，干货满满，你绝不能错过！！
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-3-22 18:05 0 API Monitor 不能过滤 NtAlpcSendWaitReceivePort这个函数? .\API Monitor (rohitab.com)\API\Windows\Ntdll.xml 只要是导出的函数，自己可以在这个文件里面定义参数和返回值就能进行hook了
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-2-24 17:00 0 [求助] ThreadListHead 是什么结构类型？是KTHREAD结构，在玩windows的可没饭吃了。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-1-6 10:44 0 [原创]OllyNoah(汉化版OD1.1修全部bug) 刀哥牛逼！
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-12-20 10:20 0 安全软件群雄混战史猎狗，这词笑喷了。。。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-12-2 10:26 0 [求助]CreateRemoteThread创建在非本机用户的程序返回失败,是什么原因 1.服务进程你自身要带管理员权限运行，其二你得获取调试权限的令牌。 2.在PPL( Protected Process Light)的进程，你有以上权限都打不开，如win10 的 csrss.exe 。但你可以调用procexp的驱动的ZwOpenProcess功能获取 full control的权限句柄。 3.在xp以上系统每个session都是隔离的，服务进程是一类session，创建远程线程失败，是因为跨session创建的，调ZwCreateThreadEx 试试看，具体原理论坛搜索。最后于 2019-12-2 10:29 被StriveXjun编辑，原因：
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-11-14 13:17 0 [原创]cuckoo沙箱技术分析全景图这个画图用的是啥工具
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-10-4 21:29 0 [求助]企业内控网接入层控制有何方案？买个DLP
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-29 10:43 0 [原创]记一次分析CPU卡的经过这表情配的到位，哈哈哈
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-25 18:13 0 [原创]深圳梦马科技锁主页驱动的任意代码执行后门的利用朋友说 ddsq = 吊打盛趣
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-2 17:05 0 [下载][分享]OllyDumpEx V1.72 sunsjw 有没有for x64dbg的？ x64dbg有 scylla ，比ollydump好用

精华数

RANk

雪币

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值：

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值

StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2025-10-28 17:38 0 [原创]移动安全联盟(libmsaoaidsec.so) 绕过知识学习
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2022-5-28 20:47 0 [讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？黑洛小俊师傅，这个点我其实一直没搞清，对于新申请的签名是不存在sha1的那win7上的 sha1是怎么签呢？支持的，你打签名的时候选择双签名即可。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2022-5-26 20:58 0 [讨论] process hacker的驱动不需要微软的签名也能在win10上跑，是怎么做到的？去年微软推过一个patch，说不支持sha1签名了，但实测还是可以运行起来的。接下来看看以下几种情况。 Win10开启 Secure Boot状态下，驱动想跑起来有两种方式： 1.使用微软WHQL签名 2.使用 2013-2015年签发的代码签名（这里是个例外，官网有说明，能跑起来，例如上海域连和 Zhuhai liangcheng签名都可以） Win10关闭 Secure Boot状态下 1.使用微软WHQL签名 2.使用sha1或sha256的签名都能正常跑。楼主现在应该是这种情况 Win7系统： 1. sha1格式的签名 2. sha256格式的， WHQL签名或自己证书签名（对于patch较老的win7, sha256签名可能不认）所以现在基本有个非常好利用的点，使用2013-2015期间颁发的驱动代码签名，几乎从win7的低版本patch，到win10-11 ,加上开启 Secure Boot情况下都能跑。但正规做法还是：微软WHQL签名+自己证书签的SHA1+SHA256 本机测试：win11 + 开启Secure Boot 附件就是测试的驱动签名文件最后于 2022-5-27 12:21 被StriveXjun编辑，原因：修正错误词
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-12-4 14:38 2 [原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG) [SharpOD v0.6d Stable] 更新日志 1.增加对VMP3.5.1的反调试处理 2.更新驱动签名和修复了一些驱动问题 3.修复了很多BUG [SharpOD v0.6c beta] 更新日志 1.增加处理 vmp3.5反调试 2.修复ThreadHideFromDebugger 参数处理bug 3.修复 win10 bypass objectcallback(PsProcessType & PsThreadType) 触发PG BSOD 4.增加处理 PEB_ProcessParameters 5.增加处理 ProcessDebugObjectHandle，参数3、5 一样情况下，打开的调试对象句柄泄漏问题 6.修复win10系统硬件断点保护问题 7.update pdk 8.修复x64dbg标题被检测问题 (Themida 3.x & Winlicense 3.x) 因为附件无法传大于8M的，网盘下载地址：链接: 1aaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4z5q4A6e0P5X3!0Q4x3X3c8d9b7U0M7@1y4q4)9#2k6Y4m8f1d9V1&6e0K9X3!0G2e0i4M7`. 提取码: 93vn
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-5-27 13:05 0 [原创]SharpOD 反反调试插件 v0.6b (增加功能和修复BUG) 这个问题修复了，有个测试群，如果有空加入一起测试的话可以来，群号980966843
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-4-6 17:31 0 [讨论]内存加载任意exe，即使无重定位 193K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K9k6i4t1H3e0h3g2E0x3s2u0&6i4K6u0r3f1Y4g2F1f1p5f1`.
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2021-2-3 22:45 0 [求助]谁有64位的msbuild,替换VS自带的msbuild 没区别，主要看你指定的参数 msbuild.exe ./xxxxx.sln /p:Configuration=Release;platform=x64
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-10-16 14:14 0 [原创]反截图技术的原理及简单实现 PlaneJun 看了一下，也是SetWindowDisplayAffinity SetWindowDisplayAffinity不是关键，关键的是dwm的aero特征。最后于 2020-10-16 14:14 被StriveXjun编辑，原因：
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-10-15 18:18 0 [原创]反截图技术的原理及简单实现你可以去逆下 screenwings 看看怎么实现的。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-9-11 09:50 0 2020看雪安全开发者峰会正在火热进行中，干货满满，你绝不能错过！！
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-3-22 18:05 0 API Monitor 不能过滤 NtAlpcSendWaitReceivePort这个函数? .\API Monitor (rohitab.com)\API\Windows\Ntdll.xml 只要是导出的函数，自己可以在这个文件里面定义参数和返回值就能进行hook了
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-2-24 17:00 0 [求助] ThreadListHead 是什么结构类型？是KTHREAD结构，在玩windows的可没饭吃了。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2020-1-6 10:44 0 [原创]OllyNoah(汉化版OD1.1修全部bug) 刀哥牛逼！
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-12-20 10:20 0 安全软件群雄混战史猎狗，这词笑喷了。。。
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-12-2 10:26 0 [求助]CreateRemoteThread创建在非本机用户的程序返回失败,是什么原因 1.服务进程你自身要带管理员权限运行，其二你得获取调试权限的令牌。 2.在PPL( Protected Process Light)的进程，你有以上权限都打不开，如win10 的 csrss.exe 。但你可以调用procexp的驱动的ZwOpenProcess功能获取 full control的权限句柄。 3.在xp以上系统每个session都是隔离的，服务进程是一类session，创建远程线程失败，是因为跨session创建的，调ZwCreateThreadEx 试试看，具体原理论坛搜索。最后于 2019-12-2 10:29 被StriveXjun编辑，原因：
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-11-14 13:17 0 [原创]cuckoo沙箱技术分析全景图这个画图用的是啥工具
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-10-4 21:29 0 [求助]企业内控网接入层控制有何方案？买个DLP
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-29 10:43 0 [原创]记一次分析CPU卡的经过这表情配的到位，哈哈哈
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-25 18:13 0 [原创]深圳梦马科技锁主页驱动的任意代码执行后门的利用朋友说 ddsq = 吊打盛趣
StriveXjun 雪币： 1044 活跃值： (1465) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 215 粉丝 79 关注私信	StriveXjun 2019-9-2 17:05 0 [下载][分享]OllyDumpEx V1.72 sunsjw 有没有for x64dbg的？ x64dbg有 scylla ，比ollydump好用

{{ user_info.username }}