原创 雙進程守護
那時候總會問自己,這次寫的驅動,用Windbg調試過嗎? 寫SsdtHook,手動找過嗎?寫ObjectHook知道對象結構嗎?用FS寄存器獲取信息?爲什麼能獲取那麼多的信息?,_kpcr與他有什麼關係? 要從那次學習雙進程守護說起,也算
2019-02-22 17:54:44
原创 HOOK這是一種思想
一、H 0 0 K: 不知道什麼時候開始,我不喜歡叫這些知識爲技術,喜歡把這些知識叫做思想。技術只是實現思想的一種行爲。 HOOK這是一個很古老的話題,我見過最早的帖子日期在2004年左右,而我2018年才學習,不變的是思想。 二、用戶層
2019-02-22 17:54:43
1
原创 C奧妙(複習筆記)
C有自己的個性,無法像Java那樣對一個數組直接操作(array[].length),也無法如Python做切片等操作,一切的方法都要你自己去實現,如果你想知道C一個數組裏有多少元素,你可以循環來測試,也可以根據內存來判斷 #include
2019-02-22 17:54:40
原创 說說windows內核中爲什麼要隱藏進程?
好久沒有寫博客了,最近抽時間把這些雜碎零散的知識梳理下來,分享給更多朋友去找樂子,在草稿箱裏面仍了好幾天忘發了。接下來談談本篇主題,隱藏兩字。一、隱藏意味着什麼? 不想被人發現唄,人性如此,亦是如此。二、爲什麼要隱藏? 其實個人覺
2019-02-22 17:54:34
原创 說說windows內核中爲什麼要隱藏線程?
一、論: 接着上一篇來談談,進程都能隱藏,單獨隱藏進程中的某一個線程幹啥?二、需求: 需求源動力,就是有需求,除了正兒八經熱愛喜歡專研的朋友,無利無名、無食而學日不思,真的讓人很尊敬。三、打個比方: 當你想要去實現隱藏線程的時候你有可能在幹
2019-02-22 17:54:34
原创 宏Virus
前言: 去年自學了部分關於宏病毒的知識,一直忙於學新知識,轉眼又過了年,年前沒能彙總、整理、分享宏病毒相關的筆記與心得,這次通過兩個樣本聊聊常見的宏病毒。 樣本一 樣本二 加密混淆(附C++去混淆代碼) 加密混淆
2019-02-21 13:29:14
原创 Xbash部分樣本分析
病毒樣本下載來源於i春秋一位cq5f7a075d作者的主題帖《XBash系列病毒樣本分析報告》,是一個Iron Group組織使用的XBash惡意軟件,樣本鏈接:https://bbs.ichunqiu.com/thread-47475-
2019-02-20 13:31:13
原创 APT蔓靈花分析
病毒樣本下載來源於i春秋逆向版主Crazyman_Army主題帖《記一次蔓靈花APT組織針對巴基斯坦定向的樣本分析》,樣本鏈接:https://bbs.ichunqiu.com/thread-50002-1-1.html 對於個人而言
2019-02-15 13:31:50
1
原创 從病毒開始聊聊那些windows下大雜燴
豬年送安康,祝大家新一年健康、快樂。願大家都做一個勤奮努力、真誠奉獻的人,幸運會永遠的眷顧你們。 引子: 某一天饒有興趣在卡飯上瀏覽着帖子,故事的相遇就那麼簡單。當時一條評論勾起我的好奇心,那麼好逆向開始。 根據我的習慣,拿到樣本我會線上
2019-02-08 13:35:03
3
原创 某網絡監視器完整逆向
✎引子: 早些時候想去研究Windows Filter Platform (WFP),參考資料少且不齊全。貼吧、論壇蒐集一些關於網絡過濾、網絡監聽的工具。開始琢磨別人是怎樣寫,怎樣實現的。然而沒有去研究驅動層(很多原理性的東西需要時間),
2019-01-29 13:29:16
4
原创 從hook開始聊聊那些windows內核數據結構
總覽: IAT HOOK Object Hook Ssdt Hook 源碼 內核知識及源碼 內核知識級源碼 一、IAT HOOK:因爲上一篇博客對已經對IAT Hook基本流程及作用進行了介紹,希望能先學懂PE再來看IA
2019-01-17 13:30:23
原创 HOOK這是一種思想(附源碼)
一、H 0 0 K:不知道什麼時候開始,我不喜歡叫這些知識爲技術,喜歡把這些知識叫做思想。技術只是實現思想的一種行爲。 HOOK這是一個很古老的話題,我見過最早的帖子日期在2004年左右,而我2018年才學習,不變的是思想。 二、用戶層:w
2019-01-16 13:33:16
1
原创 雙進程守護?內核對象?單實例....?抱歉會進程掛起...抱歉我還有HOOK....
那時候總會問自己,這次寫的驅動,用Windbg調試過嗎? 寫SsdtHook,手動找過嗎?寫ObjectHook知道對象結構嗎?用FS寄存器獲取信息?爲什麼能獲取那麼多的信息?,_kpcr與他有什麼關係?要從那次學習雙進程守護說起,也算小半
2019-01-16 13:33:16
原创 說說windows內核中爲什麼要隱藏進程?(附源碼)
好久沒有寫博客了,最近抽時間把這些雜碎零散的知識梳理下來,分享給更多朋友去找樂子,在草稿箱裏面仍了好幾天忘發了。接下來談談本篇主題,隱藏兩字。一、隱藏意味着什麼? 不想被人發現唄,人性如此,亦是如此。二、爲什麼要隱藏?其實個人覺着這是根本
2019-01-08 13:37:39
1
原创 說說windows內核中爲什麼要隱藏線程?(附源碼)
一、論:接着上一篇來談談,進程都能隱藏,單獨隱藏進程中的某一個線程幹啥?二、需求:需求源動力,就是有需求,除了正兒八經熱愛喜歡專研的朋友,無利無名、無食而學日不思,真的讓人很尊敬。三、打個比方:當你想要去實現隱藏線程的時候你有可能在幹什麼?
2019-01-08 13:37:39
6