<![CDATA[Yas Kernel Debugger]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/sysnap zh-cn www.baidu.com 5 <![CDATA[基于硬件断点检测溢出]]> YYY。。溢出懂点点。有问题还指正。。

   我们要知道,EIP指向的是可执行节,否则我们可以认为这是一次恶意攻击。SHELLCODE一般是会调用一些系统调用的

,我们可以从这里入手来检测。
栈回溯: 通过HOOK常见的API,判断其返回地址来判断。
           缺点: 一些API没HOOK(没HOOK W版本,或者漏了NTDLL.DLL),伪造EBP。
这里我们提出一种办法来检测。

阅读全文
类别:默认分类 查看评论]]> 2009年11月10日 星期二 18:53 http://hi.baidu.com/sysnap/blog/item/6d82c11652e4ed4021a4e92f.html <![CDATA[最近,想多了]]> 最近想做IE保护程序(防网马和溢出), 沙盘,键盘记录防护,屏幕防护。。这些都是在可控制范围内,每一个项目至少需要15左右的时间,却发现没时间,大四的课还是挺多的,每天都得上课,完了之后根本没时间写代码,而且自己又喜欢学习新的东西,于是很多东西都基本没做,烦。。今天翻了下电脑,发现很多的资料,我都不知道里面是什么,是什么时候下载的,会不会看到,真晕。。自从大二开始学习编程到现在。基本每天都有在坚持。。直到现在,发现太多的东西还是没能掌握,每次去图书馆,看到那么多书,总

阅读全文
类别:默认分类 查看评论]]> 2009年11月09日 星期一 15:19 http://hi.baidu.com/sysnap/blog/item/9dde5b333cbb4e49ad4b5fd7.html <![CDATA[定位可执行文件中不安全函数]]> 今天写了一半的程序,写不下去了,目前缓冲区溢出还是比较热门的,说到底是程序写代码没安全意识造成。在处理字符串上或者数组,整数上,造成了栈溢出,堆溢出或者整数溢出。当然有时候还有逻辑上的问题。下面的代码主要是想搜索PE文件中的不安全函数,来帮助发现程序中是否有不安全的函数存在。 这实现了对STRNCPY的例子。还不是很完善,没时间写了。

#include "windows.h"
#include <stdio.h>

//
//一般是可执行节,我们不能仅根据 .TEXT / .CODE来确定。
//

阅读全文
类别:默认分类 查看评论]]> 2009年11月08日 星期日 12:37 http://hi.baidu.com/sysnap/blog/item/c6a13e3e0d85a8f0838b1351.html <![CDATA[有时候]]> 有时候,人要维持一些东西是很辛苦的。一个陷阱,一个也许走不出的圈。天凉了,也得为未来思考了。。找工作,把课考好。。我等普通大众也该回到生活正常的轨道继续正常的生活,曾经的幻想,忘了吧。。
类别:默认分类 查看评论]]> 2009年11月03日 星期二 22:27 http://hi.baidu.com/sysnap/blog/item/17ec5343aaaf5f1972f05d0c.html <![CDATA[突破MD文件保护02---一条命令]]> MD2.4.4看来对这个没防啊..其他HIPS没测试.....CMD输入   SUBST B:   C:\
   接着就可以删除文件和创建文件了......汗...........................
类别:默认分类 查看评论]]> 2009年11月02日 星期一 10:39 http://hi.baidu.com/sysnap/blog/item/2ca7368f3e101ee4f01f36ad.html <![CDATA[我也来绕过MD文件保护01]]> 先来个简单的。 另外。。。MARK下 FILE_OPEN_BY_FILE_ID

HANDLE hC;

OBJECT_ATTRIBUTES ObjectAttributes;

阅读全文
类别:默认分类 查看评论]]> 2009年11月01日 星期日 16:56 http://hi.baidu.com/sysnap/blog/item/9e4d150ae739ad1595ca6b98.html <![CDATA[Yasbox1.31更新用户程序,修改下弹框显示]]>    之前有人说YASBOX的弹框很那个,今晚修改下用户程序, 驱动还是老版本的,最近应该没时间更新,用户态程序也有一大堆问题待更新。比如日志管理,人性使用等,有时间再改。。。先看下修改弹框的效果图吧。。如果不想这个弹框,可以用老版本的yasbox.exe覆盖

   

阅读全文
类别:默认分类 查看评论]]> 2009年10月31日 星期六 00:32 http://hi.baidu.com/sysnap/blog/item/6348de60f603ddd58cb10d54.html <![CDATA[编写稳定驱动之 编译器要注意的问题]]>

先看一小段代码:

void   test_a()

阅读全文
类别:默认分类 查看评论]]> 2009年10月29日 星期四 15:06 http://hi.baidu.com/sysnap/blog/item/e5fe6b50bc00b9561038c2cb.html <![CDATA[简单看了下DEP]]>    X86的处理器不支持NX位。但WIN的DEP信息存储在哪里,今晚看了下,贴上相关数据结构。lkd> dt _KPROCESS

nt!_KPROCESS

    +0x000 Header    

阅读全文
类别:默认分类 查看评论]]> 2009年10月27日 星期二 21:48 http://hi.baidu.com/sysnap/blog/item/0a403400b148408de850cd24.html <![CDATA[【中毒,杀毒】]]> VM里中碰到个毒文件实在多,懒的杀,用YasSafemode搞定,看图说话12345,1+1=2 ,2+2=4。。第一次运行YasSafemode时,必须重启计算机,开机后,需要你再运行 YasSafemode以便初始化,第一次消耗的时间多点,以后就不用了。

更新下:

离开YasSafeMode需要多一次选择,因为像一些SHELLHOOK,程序一运行就运行,这个时候如果解禁,显然病毒还是运行了

增添添加信任程序,记住信任程序你要信任才加,这样信任程序即使在 YasSafeMode也是能运行的

阅读全文
类别:默认分类 查看评论]]> 2009年10月21日 星期三 17:39 http://hi.baidu.com/sysnap/blog/item/7cb5fed937c768e338012f38.html