2008年07月11日 星期五 22:56
今天总算考完试了...明天就走...没网可以上...也好..反正上网也不知道做什么,,,,,, |
2008年07月06日 星期日 17:47
//http://hi.baidu.com/sysnap
枚举DLL的方法很多
CreateToolhelp32Snapshot.算是最原始的..
枚举PEB..(IS使用的方法之一)缺点是断链也就无能为力了
ZwQueryVirtualMemory.(IS使用的方法之一)..不过这个小伟在XP下已经成功绕过了,但是
由于2003和XP的内核数据结构不一样,造成在2003下不兼容,我看了2003下的数据结构后,
简单的实现了下,跟XP的差别不是很大.
一般的断链IS的ZwQueryVirtualMemory是可以枚举到的
因为IS只有在完全得不到模块才会使用PEB.否则用ZwQueryVirtualM |
2008年07月04日 星期五 12:52
今天早上花了点时间看下跟进程线程有关的数据结构.....发现修改KernelApcDisable可以让进程不被结束...这也是很正常.....因为结束进程最终都是通过投递APC来让他们自杀的.....但很多APC保护进程的都是通过HOOK一些相关的内核函数来实现....这样难免显得麻烦.........windows基本是以对象来管理的...内核函数..无论导出还是没有导出的....最终难免是对这些内核对象数据结构的读取或者修改.....By Sysnap
内核函数A----->内核函数B....----->内核对象数据结构<---- |
2008年07月02日 星期三 11:51
花了俩天多在网络驱动上...发现不是一般的复杂..有点感叹操作系统...本来想做个防火墙..第一天看了TDI..很陌生的说,于是编写了个TDI驱动程序,竟然可以成功通信...但数据只能发送一次,郁闷,可能是我远程的服务端有问题吧..WINSOCK之前基本没写过...不过也算了,反正我的目的不是写TDI来进行通信...还有VISTA已经改用WSK....晕...感叹东西变化咋这么快...接着就想编写个TDI FILTER,实现简单的防火墙..可是看到VISTA好像不支持TDI....郁闷..不想写了...直接把TCPIP.SYS的Dispatch钩了....感觉也差不多....可以成 |
2008年06月26日 星期四 19:12
2008年06月24日 星期二 16:11
俺还没玩过文件感染,昨天下午到现在花了时间弄了个简单的启发式扫描.......效果还真是不错...基本感染文件都能检测出来....当然我的程序比较简单,有时间再添加功能,,谁有感染文件的BIN...麻烦帮俺检测下
加节感染,利用空隙感染都可以检测出
|
2008年06月22日 星期日 09:50
有人拿个机器狗给俺..在虚拟机运行了下...做下简单的分析
释放驱动C:\Documents and Settings\Administrator\Local
Settings\Temp\wxpins.随机数.temp,恢复恢复SSDT..还有其他
功能不详细..调用IoGetDeviceObjectPointer.可能穿透还原用
吧..还调用一个keusercallback///..驱动的功能懒得分析了
启动空进程svchost.exe,向其中注入恶意代码
所以单从进程来看是感觉不 |
2008年06月20日 星期五 12:22
偷点时间写个RING3的程序
不说隐藏DLL是因为进程加载的不仅仅只有dll
枚举DLL的方法很多
CreateToolhelp32Snapshot......应该算是最原始的吧..不过用这个函数即使没有什么问题偶尔有一些模块也得不到.不知道为什么??
枚举PEB...._PEB_LDR_DATA..就是遍历模块链....断链也就无能为力了
ZwQueryVirtualMemory....本来这个方法还是不错的...不过小伟同志已经绕过了这个... |
2008年06月19日 星期四 19:39
水文一篇..昨晚考了一科..人很累...这门课基本没读,书是新的..靠前天晚上花了俩个多钟看了下..最后考得也是相当惨..算了..考完就考完.大不了补考.补不过重修.修不过明年再考...只是我有时间.愿意去学习一点....及格没什么问题
下午不小心睡了俩个钟,起床后人变得呆呆的..今天天气的确不错..太阳很猛..起床后对着电脑发呆了一阵子,然后被同学叫去帮别人修理电脑....说实在最近我是懒了许多..虽然不是很愿意..但同学的面子还是要给的..跟另外一个 |
2008年06月15日 星期日 22:15
|
| |