[分享]SDTrestore Version 0.2 学习注释存档-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (40) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼这些特征来自于内核中对KeServiceDescriptorTable初始化时的指令的机器码，你也可以自己对内核中这部分代码进行反汇编来寻找特征码，这跟从PsLookupProcessByProcessId的反汇编代码中查找PspCidTable是一样的道理。关于特征码本身我就不多说了，杀毒软件的病毒库识别也是特征码技术，都是匹配嘛 2009-5-7 17:11 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 27 楼多谢achillis的解释 2009-5-11 14:58 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 28 楼 marking..... 2009-5-11 21:11 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 29 楼 achillis 我反汇编了KiInitSystem函数，但没找到那些特征码，难道不是这个函数？ 2009-5-13 13:49 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 30 楼是我搞错了,没看仔细,当成了另一处对KiServiceTable操作时的机器码匹配. 你问的那个地方是从ntdll中找Zw函数时,对Zw函数的特征进行匹配. 例如:ZwCreateFile反汇编代码为: 7C92D682 B8 25000000 mov eax,25 7C92D687 BA 0003FE7F mov edx,7FFE0300 7C92D68C FF12 call dword ptr ds:[edx] 7C92D68E C2 2C00 retn 2C 这回明白了吧?很抱歉之前说错了~~ 2009-5-13 15:55 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 31 楼哈哈，终于明白了，真是太感谢achillis 了 2009-5-14 10:05 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 32 楼不好意思achillis，再问个问题为什么我在windbg中u ZwCreateFile的结果是 lkd> u ZwCreateFile nt!ZwCreateFile: 804dd9a0 b825000000 mov eax,25h 804dd9a5 8d542404 lea edx,[esp+4] 804dd9a9 9c pushfd 804dd9aa 6a08 push 8 804dd9ac e8801c0000 call nt!KiSystemService (804df631) 804dd9b1 c22c00 ret 2Ch 我的操作系统是XPsp2,windbg的版本为6.11.0001.404 X86 2009-5-14 11:42 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 33 楼学习，在学习 2009-5-14 11:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 34 楼那个是ntdll中的ZwCreateFile，而不是ntoskrnl中的ZwCreateFile，它们是不一样的 2009-5-14 15:23 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 35 楼再次感谢achillis， 2009-5-14 16:32 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 36 楼还想问一句，achillis你用的反汇编工具是什么，看上去很板杂嘛。还能从机器码中区分操作码和操作数 2009-5-14 17:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 37 楼 Ollydbg 2009-5-14 17:35 0
archy 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 93 粉丝 0 关注私信	archy 38 楼测试了一下。没有跑起来。。。不知道什么原因。报错为：Fail to map physical memory view of length 2000 tat 80000000! 哪位大侠能解释下原因么？？？ 2009-5-20 10:59 0
wowbellon 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wowbellon 39 楼先看看，学习学习 2009-7-15 07:58 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 40 楼留个名学习吧...还没看代码.. 2009-7-17 12:29 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 41 楼貌似和M$的风格不太一样一 2009-7-18 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (40) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼这些特征来自于内核中对KeServiceDescriptorTable初始化时的指令的机器码，你也可以自己对内核中这部分代码进行反汇编来寻找特征码，这跟从PsLookupProcessByProcessId的反汇编代码中查找PspCidTable是一样的道理。关于特征码本身我就不多说了，杀毒软件的病毒库识别也是特征码技术，都是匹配嘛 2009-5-7 17:11 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 27 楼多谢achillis的解释 2009-5-11 14:58 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 28 楼 marking..... 2009-5-11 21:11 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 29 楼 achillis 我反汇编了KiInitSystem函数，但没找到那些特征码，难道不是这个函数？ 2009-5-13 13:49 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 30 楼是我搞错了,没看仔细,当成了另一处对KiServiceTable操作时的机器码匹配. 你问的那个地方是从ntdll中找Zw函数时,对Zw函数的特征进行匹配. 例如:ZwCreateFile反汇编代码为: 7C92D682 B8 25000000 mov eax,25 7C92D687 BA 0003FE7F mov edx,7FFE0300 7C92D68C FF12 call dword ptr ds:[edx] 7C92D68E C2 2C00 retn 2C 这回明白了吧?很抱歉之前说错了~~ 2009-5-13 15:55 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 31 楼哈哈，终于明白了，真是太感谢achillis 了 2009-5-14 10:05 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 32 楼不好意思achillis，再问个问题为什么我在windbg中u ZwCreateFile的结果是 lkd> u ZwCreateFile nt!ZwCreateFile: 804dd9a0 b825000000 mov eax,25h 804dd9a5 8d542404 lea edx,[esp+4] 804dd9a9 9c pushfd 804dd9aa 6a08 push 8 804dd9ac e8801c0000 call nt!KiSystemService (804df631) 804dd9b1 c22c00 ret 2Ch 我的操作系统是XPsp2,windbg的版本为6.11.0001.404 X86 2009-5-14 11:42 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 33 楼学习，在学习 2009-5-14 11:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 34 楼那个是ntdll中的ZwCreateFile，而不是ntoskrnl中的ZwCreateFile，它们是不一样的 2009-5-14 15:23 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 35 楼再次感谢achillis， 2009-5-14 16:32 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 36 楼还想问一句，achillis你用的反汇编工具是什么，看上去很板杂嘛。还能从机器码中区分操作码和操作数 2009-5-14 17:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 37 楼 Ollydbg 2009-5-14 17:35 0
archy 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 93 粉丝 0 关注私信	archy 38 楼测试了一下。没有跑起来。。。不知道什么原因。报错为：Fail to map physical memory view of length 2000 tat 80000000! 哪位大侠能解释下原因么？？？ 2009-5-20 10:59 0
wowbellon 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wowbellon 39 楼先看看，学习学习 2009-7-15 07:58 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 40 楼留个名学习吧...还没看代码.. 2009-7-17 12:29 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 41 楼貌似和M$的风格不太一样一 2009-7-18 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复