黑月教主的空间

友情链接

文章列表

2010-02-03 20:32

这玩意儿，远非BT二字可形容~
简单的逻辑，无限的膨胀，只能让人崩溃~
无限Jmp并不可怕，垃圾指令也并非最可怕的，代码虚拟执行才最要命。。。
还没怎么看前人的总结，自己瞎摸找到了一个地方
.v_lizer:00025101 ; START OF FUNCTION CHUNK FOR sub_21584
.v_lizer:00025101
.v_lizer:00025101 loc_25101:

阅读全文>>

类别：调试与逆向 | 评论(12) | 浏览()

呜呼~中了个小奖~~

2010-01-14 12:12

RT.
某日在看雪无意中抢得沙发一个，未想到今日得中幸运小奖4G优盘一个。
详情：http://bbs.pediy.com/showthread.php?t=103366

类别：默认分类 | 评论(19) | 浏览()

KeUserModeCallback用法详解

2010-01-10 20:04

ring0调用ring3早已不是什么新鲜事，除了APC，我们知道还有KeUserModeCallback.其原型如下：
NTSTATUS
KeUserModeCallback (
     IN ULONG ApiNumber,
     IN PVOID InputBuffer,
     IN ULONG InputLength,
     OUT PVOID *O

阅读全文>>

类别：驱动与内核 | 评论(9) | 浏览()

愤怒天使和中国黑客-2

2010-01-10 13:02

都是老毒，也不知道谁抄谁的，代码相似度达95%以上~
仅有的几点差别：
(1)互斥体分别为"Angry Angel v3.0"和"ChineseHacker-2"
(2)进程名分别为Serverx.exe和runonce.exe
(3)对每个exe感染次数分别为10次和1次

上张图:

已知EP,ImageBase,求OEP
OEP=*(DWORD*)(ImageBase+EP+0x11)-ImageBase;

难道愤怒天使就

阅读全文>>

类别：技术杂谈 | 评论(6) | 浏览()

360比赛我的第五题解法

2010-01-06 18:30

这题是个文件保护，在Hijack.sys保护C:\windows\system32\360safe.txt成功后把它删掉。
HijackFile.sys的关键代码VM过了，所以只能黑盒之。
刚开始我的虚拟机中C盘是FAT32，还得我转成NTFS的。
然后加载HijackFile.sys，结果蓝掉了...
查看了一下dump，在调用栈中发现了HijackFile.sys的存在，根据调用关系直接锁定ntfs.sys进行分析，也算意外收获。
其实就算没有这个意外，多检查一下基本也能发现它动手脚的地方，如果再参考一下sudami的

阅读全文>>

类别：驱动与内核 | 评论(5) | 浏览()

呃，360的比赛结束了...

2010-01-04 20:19

答案还没提交呢~
不小心记错结束日期了，以为是7号结束呢，虽然sudami和MJ提醒了一下，我还是没在意。
不过无所谓啦，刚开始挺有激情，后来越来越没劲了。我也只做了第五题，交不交就那样了，这两天有时间把我的第5题答案发出来吧~

PS：通过这次比赛的题目，发现自己存在很大的不足，继续努力。。。

类别：默认分类 | 评论(10) | 浏览()

为什么win32k.sys在System进程空间无法访问

2010-01-02 21:21

玩过Shadow SSDT Hook的都知道，在System进程中是无法访问win32k.sys的内存空间的，要想访问必须切换到csrss进程或者任意一个GUI进程。
问题一：为什么System进程里无法访问win32k.sys呢？
某同学的说法，"在System进程和非GUI进程里，win32k.sys被页换出了，所以无法访问"
win32k.sys作为GUI服务例程的载体，NtGdiXxxx,NtUserXxxx等GUI服务例程调用极其频繁。
所以，不管使用何种页置换算法，win32k几乎都不可能被页换出，因为它的使用频率太高了

阅读全文>>

类别：驱动与内核 | 评论(19) | 浏览()

上网记录深度擦除工具V1.1版发布

2009-12-19 16:16

上网记录深度擦除工具-说明文档

功能说明：
本工具是一个直接从扇区级别扫描和擦除上网记录的程序。
因此，其在上网记录擦除方面非常彻底，可以对付猎隼、能邦、ViewUrl等上网

阅读全文>>

类别：系统编程 | 评论(21) | 浏览()

某软件的磁盘缝隙擦除功能的具体实现~

2009-12-16 20:54

所谓磁盘缝隙擦除，就是将磁盘的空闲空间全部写0，这样可以抹掉一些敏感信息（比如上网记录），对保护隐私比较重要。
这几天在升级我的《上网记录深度擦除工具》的过程中，发现有不少信息就隐藏在空闲空间里，因此想自己实现这一功能。折腾中发现某软件已经有了该功能，无奈加壳（PEID查不出来，偶脱壳水平又比较菜），于是黑盒之~
运行软件擦除目标分区空闲空间，速度还可以接受，擦除完之后目标分区根目录下多出一FileChk文件夹。
拿出WinHex打开刚开擦除的分区看了一下，秘密出来了：

阅读全文>>

类别：系统编程 | 评论(27) | 浏览()

这次360的比赛~

2009-12-02 12:25

一共六道题，都比较XX~~
这次我完全没什么时间了，如果题目提前一个月出来的话，可能还有点时间。。。
现在只好路过了,只细看了第五题,也就是sudami的文件保护题，因为这题相对来说我还熟悉点。
不知是加了VM还是CV，反正那玩意儿都不是给人看的，参考某程序+黑盒搞出来了~
目前想出来5种方法，实现了两种，但是都不够完美（sudami说不完整，但是我也没违规啊。。。）
剩下三种未实验，但是可行性也都比较高，不过因为之前对文件系统还不够熟悉，也没写过

阅读全文>>

类别：默认分类 | 评论(12) | 浏览()