Ta的论坛

bzhkl

头图
皮肤套装

使用

bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-25 23:38 0 [求助]反汇编引擎不知道怎么计算代码长度向上找个没有歧义的代码找个NOP或者其他的累加向下计算指令长度看那条指令落在哪个范围。。或者从OEP开始加或者从开始地址开始加开始地址就是要求用户输入的那地址随便想到的仅供参考。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-22 22:47 0 [讨论]ring0隐藏调试端口可能 shadow walk 可以原理：http://blog.csdn.net/linux2linux/archive/2005/08/26/465701.aspx 以前搞了下测试下时间长了会蓝不太稳定不知道为什么 = =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-20 23:48 0 [注意]恭喜看雪安全网站建站九周年！(幸运奖结果公布) 支持 ~ 学到不少东西。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-19 21:32 0 [分享]Mem0ry C0mpare V0.1 山寨版 SF happy new year thank you for the share
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-11 20:18 0 [求助]你们一般聊天能聊多久？这个跟性格有关系
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-10 04:25 0 [求助]如何patch　P-Code hook dispatch code 在某一条件成立时指向PCODE的值（通常是esi？）累加下相应的值密钥模拟加密变换下但实际的调度代码不执行或者调度自己的CALL 你不是要绕过CALL吗调度到自己的RET上应该就可以了。。我只是猜测下没有实践过= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-3 01:09 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 我说的原理应该正确的你出现错误应该是你的问题慢慢调试了= = 传一个附件 WindowsXP 的调度机制的详细解说并有伪代码还有一条思路配合WRK看看 _KPRCB 中的+124 _KTHREAD CurrentThread struct _KTHREAD NextThread struct _KTHREAD *IdleThread 是怎么确定的应该就可以了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-2 17:01 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 就相关进程EHTREAD 的 KTHREAD 中的 WaitListEntry、QueueListEntry、ThreadListEntry 我是放在一个循环里每隔几百毫秒检查下有就断开。好像3个链表好像不是同时有要断开的项的所以要放一个循环了我是这样解决的具体调度算法怎样调度没有深究了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-2 15:53 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 我说的是 WaitListEntry、QueueListEntry、ThreadListEntry 你说 Ki*****, 你没仔细看我说的吧我实现了是可行的= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-31 23:13 0 [讨论]岔口？向左：向右？真正有钱人肯定是非常非常精通技术对技术的敏感肯定非常之强不用怀疑。。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-28 20:52 0 CALL的调用问题直接记录ECX就可以了可以把类成员函数当做寄存器传参（ECX）
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-27 23:38 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) XP 2000下都实现过简单说下XPSP2下因为没资料 2000资料多了自己搜你自己先搞要断开首先要会枚举所有线程办法是枚举所有活动进程通过其中任一 EHTREAD 的 KTHREAD 中的 WaitListEntry、QueueListEntry、ThreadListEntry 可以枚举到系统所有线程要断开指定线程就简单多了找指定进程任一线程 KTHREAD 相关3个链表断开指定项就可以了= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-23 00:59 0 Xtrap搞不定咯 DeviceIoCtrol 包自己研究关键是提高研究能力= = 不然具体我告诉你换种方式你又不会了另外把驱动当做黑盒分析然后绕过是个好方向个人不看好调试驱动。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-23 00:48 0 Xtrap搞不定咯大方向是模拟IO包再分析下即可解决一般初学来说10天工作量大概 writeportchar 去掉就不重启了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-21 23:39 0 [原创]RING3代码HOOK的原理实现（学习笔记1） bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5) 注意看函数声明 = = 第五个是参数传进去的可以是7字节 8字节等等 = =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-18 15:39 0 [求助]如何把该文件释放的驱动copy出来直接写BAT看看~~
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-14 11:42 0 [求助] 怎么样用汇编将一个数组写到一个地址 mov byte ptr [0x12345678], 11 mov byte ptr [0x12345679], 22 mov byte ptr [0x1234567A], 33 等等
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-12 00:46 0 [原创]RING3代码HOOK的原理实现（学习笔记1） to 5楼: 1 个人认为这种模式非常方便看过很多方式HOOK 这种模式很方便代码结构非常好 2 这不一定只能用在header 是 CODE HOOK 随便在哪里HOOK 不一定在函数头当然HOOK API有另外的函数比这个还方便具体见附件另外这种构架用了几年了用的人多了没出过问题 = = to 7楼：有在附件使用方法参考我一楼的吧~
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-11 14:42 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 原理这个 http://pjf.blogcn.com/diary,109827361.shtml PJF提出来的是跟踪得出的= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-11 13:08 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 程序里有个线程不断更新进程的只要发生线程调度就被记录下来了如果有些进程实在太闲不发生线程调度那就不要管了。。不运行应该不会对系统造成危害除非他绕过了上面的HOOK 个人觉得这个可以起到辅助枚举进程的作用，当初写这个的目的是得到一个隐藏进程的EPROCESS ~

精华数

240

RANk

437

雪币

383

活跃值

关注数

粉丝数

课程经验

学习收益

学习时长

基本信息

能力排名： No.274

等级： LV12

活跃值：

在线值：

浏览人数：270

最近活跃：6小时前

注册时间：2006-12-17

勋章

能力值

bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-25 23:38 0 [求助]反汇编引擎不知道怎么计算代码长度向上找个没有歧义的代码找个NOP或者其他的累加向下计算指令长度看那条指令落在哪个范围。。或者从OEP开始加或者从开始地址开始加开始地址就是要求用户输入的那地址随便想到的仅供参考。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-22 22:47 0 [讨论]ring0隐藏调试端口可能 shadow walk 可以原理：http://blog.csdn.net/linux2linux/archive/2005/08/26/465701.aspx 以前搞了下测试下时间长了会蓝不太稳定不知道为什么 = =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-20 23:48 0 [注意]恭喜看雪安全网站建站九周年！(幸运奖结果公布) 支持 ~ 学到不少东西。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-19 21:32 0 [分享]Mem0ry C0mpare V0.1 山寨版 SF happy new year thank you for the share
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-11 20:18 0 [求助]你们一般聊天能聊多久？这个跟性格有关系
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-10 04:25 0 [求助]如何patch　P-Code hook dispatch code 在某一条件成立时指向PCODE的值（通常是esi？）累加下相应的值密钥模拟加密变换下但实际的调度代码不执行或者调度自己的CALL 你不是要绕过CALL吗调度到自己的RET上应该就可以了。。我只是猜测下没有实践过= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-3 01:09 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 我说的原理应该正确的你出现错误应该是你的问题慢慢调试了= = 传一个附件 WindowsXP 的调度机制的详细解说并有伪代码还有一条思路配合WRK看看 _KPRCB 中的+124 _KTHREAD CurrentThread struct _KTHREAD NextThread struct _KTHREAD *IdleThread 是怎么确定的应该就可以了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-2 17:01 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 就相关进程EHTREAD 的 KTHREAD 中的 WaitListEntry、QueueListEntry、ThreadListEntry 我是放在一个循环里每隔几百毫秒检查下有就断开。好像3个链表好像不是同时有要断开的项的所以要放一个循环了我是这样解决的具体调度算法怎样调度没有深究了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2009-1-2 15:53 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 我说的是 WaitListEntry、QueueListEntry、ThreadListEntry 你说 Ki*****, 你没仔细看我说的吧我实现了是可行的= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-31 23:13 0 [讨论]岔口？向左：向右？真正有钱人肯定是非常非常精通技术对技术的敏感肯定非常之强不用怀疑。。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-28 20:52 0 CALL的调用问题直接记录ECX就可以了可以把类成员函数当做寄存器传参（ECX）
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-27 23:38 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) XP 2000下都实现过简单说下XPSP2下因为没资料 2000资料多了自己搜你自己先搞要断开首先要会枚举所有线程办法是枚举所有活动进程通过其中任一 EHTREAD 的 KTHREAD 中的 WaitListEntry、QueueListEntry、ThreadListEntry 可以枚举到系统所有线程要断开指定线程就简单多了找指定进程任一线程 KTHREAD 相关3个链表断开指定项就可以了= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-23 00:59 0 Xtrap搞不定咯 DeviceIoCtrol 包自己研究关键是提高研究能力= = 不然具体我告诉你换种方式你又不会了另外把驱动当做黑盒分析然后绕过是个好方向个人不看好调试驱动。。
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-23 00:48 0 Xtrap搞不定咯大方向是模拟IO包再分析下即可解决一般初学来说10天工作量大概 writeportchar 去掉就不重启了
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-21 23:39 0 [原创]RING3代码HOOK的原理实现（学习笔记1） bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5) 注意看函数声明 = = 第五个是参数传进去的可以是7字节 8字节等等 = =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-18 15:39 0 [求助]如何把该文件释放的驱动copy出来直接写BAT看看~~
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-14 11:42 0 [求助] 怎么样用汇编将一个数组写到一个地址 mov byte ptr [0x12345678], 11 mov byte ptr [0x12345679], 22 mov byte ptr [0x1234567A], 33 等等
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-12 00:46 0 [原创]RING3代码HOOK的原理实现（学习笔记1） to 5楼: 1 个人认为这种模式非常方便看过很多方式HOOK 这种模式很方便代码结构非常好 2 这不一定只能用在header 是 CODE HOOK 随便在哪里HOOK 不一定在函数头当然HOOK API有另外的函数比这个还方便具体见附件另外这种构架用了几年了用的人多了没出过问题 = = to 7楼：有在附件使用方法参考我一楼的吧~
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-11 14:42 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 原理这个 http://pjf.blogcn.com/diary,109827361.shtml PJF提出来的是跟踪得出的= =
bzhkl 雪币： 437 活跃值： (383) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2008-12-11 13:08 0 [分享]HOOK SwapContext 枚举隐藏进程(学习笔记4) 程序里有个线程不断更新进程的只要发生线程调度就被记录下来了如果有些进程实在太闲不发生线程调度那就不要管了。。不运行应该不会对系统造成危害除非他绕过了上面的HOOK 个人觉得这个可以起到辅助枚举进程的作用，当初写这个的目的是得到一个隐藏进程的EPROCESS ~

bzhkl

账号登录 验证码登录

账号登录

验证码登录