原创 Win32k(4) 視窗鉤子
第五部分 視窗鉤子 一、ROS下的流程 Win2000版本有人分析過了http://bbs.pediy.com/showthread.php?t=135702 消息鉤子是一種官方支持鉤子回調,可以攔截某一個窗口或者全局
2020-06-23 07:44:25
13
原创 枚舉勞務線程
ExWorkerQueue是全局數組 一共三類 typedef enum _WORK_QUEUE_TYPE { CriticalWorkQueue, DelayedWorkQueue, HyperCriticalWorkQ
2020-06-23 07:44:14
7
原创 Win32k(2) 報文驅動的通信機制
一.應用層的api int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
2020-06-23 07:44:14
5
原创 Win32k(3) R0 to R3,鍵盤鼠標輸入
第三部分 R0 to R3 這部分有教主非常精彩和實用的分析,我就不瞎說了。 http://bbs.pediy.com/showthread.php?t=104918 r3 to r0 是常規系統調用倒過來 中斷或者
2020-06-23 07:44:13
15
原创 搜狗瀏覽器網速保護 功能/漏洞/缺陷 分析
軟件版本 2.2.0.1423 驅動版本 1.0.0.9 主要功能就是對耗流量的下載軟件進行限速 ★.r0 掛鉤TCPIP的handler 攔截髮送包 ★.r0 hook NtMapViewOfSection 加載mswsock.d
2020-06-23 07:44:13
原创 溫故:自映射機制
/*/x86非PAE的虛擬地址 4k爲一頁,12位作爲最後的頁內偏移 剩下20位前十位頁目錄索引,中間十位頁表索引,一共會有4k的頁目錄和4M的頁表,windows將頁表安排在0xc0000000~0xc0400000,頁目錄安排
2020-06-23 07:44:13
5
原创 Win32k(1) 圖形線程的初始化
很久以前看ROS的筆記,跟windows不一樣的地方不少,最近沒時間看這塊了= = 先貼上來備份 第一部分 圖形線程的初始化 綜述一下—— 圖形通信對象(user object)以線程爲單位。這個線程是圖形線程,調用表就
2020-06-23 07:44:13
2
原创 [再mark] 系統註冊的dpc,枚舉定時器相關的……
續 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html 剛沒事兒又看了下~mark而已啊~ 1. ExpTimerDpcRou
2020-06-23 07:44:13
1
原创 說說白利用
現在過hips或者scan越來越難了~很多白利用什麼的 先說說沒品木馬們的常見手段(以下示例國內靠譜安全軟件早已防範): 1. 一些未公開的啓動位置——ms的啓動註冊表還是很多的~ 放出來樣本一分析很快就會被殺
2020-02-23 11:32:43
原创 圍觀網絡之三 -- 淺探索NDIS5.1(2)
二、 各個組件的綁定 1. 生成設備 當PNP管理器檢測到有NIC的時候,會遍歷所有註冊的微端口驅動,通知他們要AddDevice ,從ndisRegisterMiniportDriver可以看到這個過
2020-02-23 11:32:43
18
原创 inline Hook IdePortStartIo+80 的奇怪驅動
原理類似機器狗,代碼寫的挺新鮮 loadder.exe 行爲 NtSetSysteminformation加載驅動 c:\\cloud76.dll 驅動cloud76.dll
2020-02-23 11:32:43
1
原创 古老的隱藏rootkit思路,XT還沒檢測
天天看垃圾rootkit,看多了也成了臭皮匠= = 循環 mov dr0,atapi!xxxxxxx hook KidebugR 再學0 Access來個驅動感染 這下沒人管了(當然如果內存掃特徵定位驅動文件+Wi
2020-02-23 11:32:43
原创 圍觀文件穿越操作
大概這麼幾個思路 1. 打開文件用IoCreateFile,其他比較好發irp的(比如刪除操作)走FSD irp 刪除文件部分處理了刪除正在運行的exe鏡像部分,做法是方法是IAT Hook MmFlushImage
2020-02-23 11:32:43