[分享]debugman上不去~bin发这里玩玩-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]debugman上不去~bin发这里玩玩

发表于: 2009-1-22 21:26 16762

[分享]debugman上不去~bin发这里玩玩

cvcvxk

2009-1-22 21:26

16762

偶然翻出来一个邪恶的bin~~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

callback.rar （1.90kb，325次下载）

收藏・12

免费・0

支持

最新回复 (24)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼用notepad看了下debugstr，是 r0 call r3？ 2009-1-22 21:58 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 3 楼 KeUserModeCallback 2009-1-22 22:02 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼 KeUserModeCallback 上debugman太不安全了，被R N次了。。。 2009-1-22 22:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 5 楼找到本进程（发IOCTL给SYS的进程空间）模块user32.dll->MessageBoxA的地址，分配块内存填充"KeUserModeCallback: Hello from ring0 !!"。再调KeUserModeCallback执行下。效果就是R0的弹框 2009-1-22 22:05 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 6 楼 2009-1-22 22:05 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 7 楼 wowocock 大牛 QQ联系下在群里呼唤着你 2009-1-22 22:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼老V下次发BIN，得加花加密一下，这样分析起来才锻炼人啊。也有意思~ 呵呵 2009-1-22 22:07 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 9 楼又不是炫耀贴,老V是发出来让大家学习的,嘿嘿..... 2009-1-22 22:20 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼找到了原始的代码，是俄国鬼子干的~~ 哎~ 2009-1-22 22:26 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 11 楼贴出来吧,我找到的都是汇编的,现在习惯用C 了. 2009-1-22 22:47 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼 http://twister.rootkits.ru/sources/ke_user_mode_callback.rar 2009-1-22 22:51 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 13 楼老V放出来的东西，赶紧收藏~ 2009-1-22 23:39 0
SysNoah 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	SysNoah 14 楼收藏去了。。。我以为是kdbcallback 2009-1-23 11:19 0
xss 雪币： 471 活跃值： (3703) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 15 楼老毛子真的是很强悍啊！ 2009-1-25 10:40 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 16 楼收藏了，有时间学习下 2009-2-3 18:02 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 17 楼 [QUOTE=;]...[/QUOTE] 太帅了~~ 我还一直自己写插apc的... 2009-2-3 22:55 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 18 楼看起来很好玩。学习一下 2009-2-4 08:39 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 19 楼原来有源码啊，害我反出来一点成就感都没有 2009-2-5 16:37 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 20 楼以后真的可以用驱动写一个记事本 2009-2-5 16:41 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 21 楼写一个串口驱动，人家刚刚打开一个串口，就弹出一个记事本，简直莫名，呵呵 2009-2-5 16:43 0
genmummy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	genmummy 22 楼我俄语学校毕业的，现在字母都认不全了，惭愧 2009-2-6 09:34 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 23 楼学习.唉.既然是放BIN .别弄壳啦.再说啦.你们一弄壳啊都是超级XX的壳.这是看BIN呢还是看壳哇~~ 当偶什么什么也没说过吧. 菜菜鸟飘过~~~~ 2009-2-20 19:43 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 24 楼要放就放SRC撒放什么BIN 2009-2-24 01:06 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 25 楼这个比较郁闷的是，如果进程体内没user32.dll，就不行了~ 还得替他LOAD一下不过利用userdispatcher计算地址的XX来做到不占用index调用，比较有意思的做法~ 2009-4-19 00:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼用notepad看了下debugstr，是 r0 call r3？ 2009-1-22 21:58 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 3 楼 KeUserModeCallback 2009-1-22 22:02 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼 KeUserModeCallback 上debugman太不安全了，被R N次了。。。 2009-1-22 22:03 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 5 楼找到本进程（发IOCTL给SYS的进程空间）模块user32.dll->MessageBoxA的地址，分配块内存填充"KeUserModeCallback: Hello from ring0 !!"。再调KeUserModeCallback执行下。效果就是R0的弹框 2009-1-22 22:05 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 6 楼 2009-1-22 22:05 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 7 楼 wowocock 大牛 QQ联系下在群里呼唤着你 2009-1-22 22:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼老V下次发BIN，得加花加密一下，这样分析起来才锻炼人啊。也有意思~ 呵呵 2009-1-22 22:07 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 9 楼又不是炫耀贴,老V是发出来让大家学习的,嘿嘿..... 2009-1-22 22:20 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼找到了原始的代码，是俄国鬼子干的~~ 哎~ 2009-1-22 22:26 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 11 楼贴出来吧,我找到的都是汇编的,现在习惯用C 了. 2009-1-22 22:47 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼 http://twister.rootkits.ru/sources/ke_user_mode_callback.rar 2009-1-22 22:51 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 13 楼老V放出来的东西，赶紧收藏~ 2009-1-22 23:39 0
SysNoah 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	SysNoah 14 楼收藏去了。。。我以为是kdbcallback 2009-1-23 11:19 0
xss 雪币： 471 活跃值： (3703) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 15 楼老毛子真的是很强悍啊！ 2009-1-25 10:40 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 16 楼收藏了，有时间学习下 2009-2-3 18:02 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 17 楼 [QUOTE=;]...[/QUOTE] 太帅了~~ 我还一直自己写插apc的... 2009-2-3 22:55 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 18 楼看起来很好玩。学习一下 2009-2-4 08:39 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 19 楼原来有源码啊，害我反出来一点成就感都没有 2009-2-5 16:37 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 20 楼以后真的可以用驱动写一个记事本 2009-2-5 16:41 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 21 楼写一个串口驱动，人家刚刚打开一个串口，就弹出一个记事本，简直莫名，呵呵 2009-2-5 16:43 0
genmummy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	genmummy 22 楼我俄语学校毕业的，现在字母都认不全了，惭愧 2009-2-6 09:34 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 23 楼学习.唉.既然是放BIN .别弄壳啦.再说啦.你们一弄壳啊都是超级XX的壳.这是看BIN呢还是看壳哇~~ 当偶什么什么也没说过吧. 菜菜鸟飘过~~~~ 2009-2-20 19:43 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 24 楼要放就放SRC撒放什么BIN 2009-2-24 01:06 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 25 楼这个比较郁闷的是，如果进程体内没user32.dll，就不行了~ 还得替他LOAD一下不过利用userdispatcher计算地址的XX来做到不占用index调用，比较有意思的做法~ 2009-4-19 00:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复