今天早上花了点时间看下跟进程线程有关的数据结构.....发现修改KernelApcDisable可以让进程不被结束...这也是很正常.....因为结束进程最终都是通过投递APC来让他们自杀的.....但很多APC保护进程的都是通过HOOK一些相关的内核函数来实现....这样难免显得麻烦.........windows基本是以对象来管理的...内核函数..无论导出还是没有导出的....最终难免是对这些内核对象数据结构的读取或者修改.....By Sysnap

     内核函数A----->内核函数B....----->内核对象数据结构<----

    花了俩天多在网络驱动上...发现不是一般的复杂..有点感叹操作系统...本来想做个防火墙..第一天看了TDI..很陌生的说,于是编写了个TDI驱动程序,竟然可以成功通信...但数据只能发送一次,郁闷,可能是我远程的服务端有问题吧..WINSOCK之前基本没写过...不过也算了,反正我的目的不是写TDI来进行通信...还有VISTA已经改用WSK....晕...感叹东西变化咋这么快...接着就想编写个TDI FILTER,实现简单的防火墙..可是看到VISTA好像不支持TDI....郁闷..不想写了...直接把TCPIP.SYS的Dispatch钩了....感觉也差不多....可以成

   就是hook IopDeleteFile
一些sys txt的文件是只能看不能删..一删就蓝.比如IS WsysCheck
SnipeSword可以直接将sys文件删除...只要在同一目录下再建个exe文件....这样就可以了...一看就蓝
if(_stricmp(ansiDirName.Buffer,"\\sysnap\\sysnap.sys")==0||_stricmp(ansiDirName.Buffer,"\\sysnap\\kk.exe")==0)
当然文件还是可以正常运行滴....只是不能再用一些列文

    俺还没玩过文件感染,昨天下午到现在花了时间弄了个简单的启发式扫描.......效果还真是不错...基本感染文件都能检测出来....当然我的程序比较简单,有时间再添加功能,,谁有感染文件的BIN...麻烦帮俺检测下

   加节感染,利用空隙感染都可以检测出

   有人拿个机器狗给俺..在虚拟机运行了下...做下简单的分析

   释放驱动C:\Documents and Settings\Administrator\Local

Settings\Temp\wxpins.随机数.temp,恢复恢复SSDT..还有其他

功能不详细..调用IoGetDeviceObjectPointer.可能穿透还原用

吧..还调用一个keusercallback///..驱动的功能懒得分析了

启动空进程svchost.exe,向其中注入恶意代码
所以单从进程来看是感觉不

    偷点时间写个RING3的程序

   不说隐藏DLL是因为进程加载的不仅仅只有dll

    枚举DLL的方法很多

    CreateToolhelp32Snapshot......应该算是最原始的吧..不过用这个函数即使没有什么问题偶尔有一些模块也得不到.不知道为什么??

    枚举PEB...._PEB_LDR_DATA..就是遍历模块链....断链也就无能为力了

    ZwQueryVirtualMemory....本来这个方法还是不错的...不过小伟同志已经绕过了这个...

   水文一篇..昨晚考了一科..人很累...这门课基本没读,书是新的..靠前天晚上花了俩个多钟看了下..最后考得也是相当惨..算了..考完就考完.大不了补考.补不过重修.修不过明年再考...只是我有时间.愿意去学习一点....及格没什么问题

   下午不小心睡了俩个钟,起床后人变得呆呆的..今天天气的确不错..太阳很猛..起床后对着电脑发呆了一阵子,然后被同学叫去帮别人修理电脑....说实在最近我是懒了许多..虽然不是很愿意..但同学的面子还是要给的..跟另外一个