Dry Kill Logic
百度空间 | 百度首页 
 
文章列表
 
Kernel Pollution的新站点
2008年10月14日 星期二 下午 02:02

欢迎访问我们的站点:

www.SoftRCE.net

类别:默认分类 | 评论(1) | 浏览()
 
Filemon中的HASH TABLE
2008年10月12日 星期日 下午 04:49

这段代码是从Filemon中提取出来的,适合做监控的朋友使用
主要是为了在IO比较频繁的例程比如IRP_MJ_READ/IRP_MJ_WRITE里通过FILE_OBJECT得到文件名等信息。这种方法比其他方法相对更加高效一些。比如FILEMON,TDI_FW都采用HASH TABLE来保存文件名或者其他信息。

//
// Structure for the fileobject/name hash table
//
typedef struct _nameentry {
   PFILE_OBJECT   FileObject;

阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
win2k shadow ssdt routine name list
2008年07月31日 星期四 下午 01:41
"NtGdiAbortDoc",
"NtGdiAbortPath",
"NtGdiAddFontResourceW",
"NtGdiAddRemoteFontToDC",
"NtGdiAddFontMemResourceEx",
"NtGdiRemoveMergeFont",
"NtGdiAddRemoteMMInstanceToDC",
"NtGdiAlphaBlend",
"NtGdiAngleArc",
"NtGdiAnyLinkedFonts",
"NtGdiFontIsLinked",
"NtGdiArcInternal",
"NtGdiBeginPath
阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
win2k3 shadow ssdt routine name list
2008年07月31日 星期四 下午 01:40
"NtGdiAbortDoc",
"NtGdiAbortPath",
"NtGdiAddFontResourceW",
"NtGdiAddRemoteFontToDC",
"NtGdiAddFontMemResourceEx",
"NtGdiRemoveMergeFont",
"NtGdiAddRemoteMMInstanceToDC",
"NtGdiAlphaBlend",
"NtGdiAngleArc",
"NtGdiAnyLinkedFonts",
"NtGdiFontIsLinked",
"NtGdiArcInternal",
"NtGdiBeginPath
阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
winxp shadow ssdt routine name list
2008年07月31日 星期四 下午 12:01
"NtGdiAbortDoc",
"NtGdiAbortPath",
"NtGdiAddFontResourceW",
"NtGdiAddRemoteFontToDC",
"NtGdiAddFontMemResourceEx",
"NtGdiRemoveMergeFont",
"NtGdiAddRemoteMMInstanceToDC",
"NtGdiAlphaBlend",
"NtGdiAngleArc",
"NtGdiAnyLinkedFonts",
"NtGdiFontIsLinked",
"NtGdiArcInternal",
"NtGdiBeginPath
阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
剑走偏锋:非主流的程序员
2008年07月29日 星期二 下午 08:56
剑走偏锋:非主流的程序员
作者:周爱民
引子
在冷兵器时代,大概刀剑算是主流的武器,在军营中,则以长枪、弓箭为主。然而我前两天看了一篇文章,说短棍成为现代实战格斗中的主要武器。回望从前,短
阅读全文>>
类别:默认分类 | 评论(3) | 浏览()
 
如何获得原始SHADOW SSDT
2008年07月28日 星期一 下午 04:43

关于如何获得原始SHADOW SSDT

win2k sp4~winxp sp1首先定位加载的win32k.sys的入口点(静态文件的麻烦一些),然后搜索FF 15 DD CC BB AA特征,如果0xAABBCCDD指向的内容是KeAddSystemServiceTable则当前指令的前面4字节就是表的实际地址

bf9ae613 68109099bf      push    offset win32k!W32pArgumentTable (bf999010)
bf9ae618 ff350c9099bf  

阅读全文>>
类别:默认分类 | 评论(3) | 浏览()
 
我心目中的编程高手
2008年06月25日 星期三 下午 02:21
http://www.xuyibo.org/article/67.htm
类别:默认分类 | 评论(1) | 浏览()
 
安全软件
2008年06月21日 星期六 下午 01:09
安全软件啊,任何一个环节的疏忽都有可能导致被击败。
类别:默认分类 | 评论(2) | 浏览()
 
写给透明加密驱动开发的探索者[转载自驱动开发网]
2008年06月20日 星期五 上午 09:51
写给透明加密驱动开发的探索者

1. 基础要好,先要学会写其它驱动

2. 看三遍以上的 NT文件系统内幕, 如果能看中文版更好 :)

3. cache管理这部分多看吧,多看多看

4. NTFS倒不一定要看,多看看fastfat源码

5. 一定要多试,多动手

6. 尽可能在一个公司内开发,有完善的测试团队,否则你的产品一直在实验室...

7. 多问大牛们,当然不包括我

8.文件标识处理有文件头及文件尾,技术不一样,难点也不一样

9. 考虑一下分组算法的处
阅读全文>>
类别:默认分类 | 评论(1) | 浏览()
 
关于发送IRP实现隐藏文件检测
2008年06月16日 星期一 下午 04:51

如何填写IRP参数?

请参考 REACTOS源码里的 NTQueryDirectoryFile(枚举)和NTSetInformationFile(删除)

类别:默认分类 | 评论(0) | 浏览()
 
太阳岛
2008年06月09日 星期一 下午 05:43

阅读全文>>
类别:默认分类 | 评论(11) | 浏览()
 
重返哈尔滨
2008年05月31日 星期六 下午 05:52

来到哈尔滨已经一周多了,感觉环境还是不错的~以后要多勤学好问才好

类别:默认分类 | 评论(1) | 浏览()
 
AntiProtect
2008年05月13日 星期二 下午 09:15

www.AntiProtect.com

欢迎访问

类别:默认分类 | 评论(4) | 浏览()
 
永远的MIDI!
2008年05月03日 星期六 下午 12:19

类别:默认分类 | 评论(1) | 浏览()
 
更多文章>>
     
 
 
个人档案
 
dongyang_sec

黑龙江 哈尔滨 
上次登录:
6月25日
加为好友
 
   
 
文章分类
 
默认分类(21)
 
     
 
订阅我的空间
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     


©2009 Baidu