摘要:
题目:编写一个程序(比如kernel module),使附件2.c中的程序跳出死循环。2.c中的代码如下:#includeint main(int argc, char *argv[]){int n = 1;printf(“Address of n :%x\n”,&n);printf(“My pid is: %d.\n”, getpid());while(1){sleep(3); /* sleep for 3 secs */}printf(“I break out\n”);return 0;}说明:此题只需上交实现文档、源码。源码中请以注释注明平台、系统。比如32位linux 3.2。 阅读全文
摘要:
获取ssdt表中所有函数的地址for (int i = 0; i NumberOfServices; i++){KdPrint(("NumberOfService[%d]-------%X\n", i, KeServiceDescriptorTable->ServiceTableBase[i]));}需要这样定义typedef struct _ServiceDescriptorTable {unsigned int* ServiceTableBase; //System Service Dispatch Table 的基地址 unsigned int* Service 阅读全文
摘要:
1 #ifdef __cplusplus 2 extern "C" 3 { 4 #endif 5 #include 6 #ifdef __cplusplus 7 } 8 #endif 9 10 11 typedef struct _ServiceDescriptorTable { 12 unsigned int *ServiceTableBase; //System Service Dispatch Table 的基地址 13 unsigned int *ServiceCounterTable; 14 //包含着 SSDT 中每个服务被调用... 阅读全文
摘要:
常识:IRP:I/O Request Package 即输入输出请求包exe和sys通信时,exe会发出I/O请求。操作系统会将I/O请求转化为相应的IRP数据,不同类型传递到不同的dispatch function过程:DeviceIoControl函数产生IRP_MJ_DEVICE_CONTROL 派遣例程DeviceIoControl函数是用来向指定设备发送控制码,当指定的设备接收到DeviceIoControl函数发来的控制码后会调用IRP_MJ_DEVICE_CONTROL对应的派遣例程,针对不同的控制码进行处理。BOOL DeviceIoControl( HANDLE hDevic 阅读全文
摘要:
逆向1:bmp图片修复首先有一个坑,winhex搜索key就能找到一个key,不过当然false下面就是解题思路:094fce+36 = 094f98修改1:BM标识,在windows的标识修改2:0xA处的大小为固定值0x0036逆向2:c#破解ILlasm或者reflector静态调试软件reflector直接就可以反编译出源码,代码没加混淆以及反调试或者壳,所以很简单。reflector反编译结果:private void btn_ok_Click(object sender, EventArgs e){ if (this.textBox_Pass.Text == "" 阅读全文
摘要:
最近在学习win32汇编,老罗的书遇到些环境变量的事1 @echo off2 rem 根据自己的masm目录修改自己3 set masm32Dir=E:\masm324 set include=%masm32Dir%\Include5 set lib=%masm32Dir%\lib6 set path=%masm32Dir%\bin;%path% 7 @echo succeed8 @pause保存为var.bat用批处理设置,每次运行cmd的时候都要运行这个var.bat批处理可以这样检测:打开cmd,用set命令查看环境变量path,再执行var.bat,再set查看环境变量path这样就可 阅读全文
摘要:
菜鸟第一次分析,求大牛指点下载链接:http://www.cnblogs.com/Joy7/admin/Files.aspx名字:原样本 解压密码:JoyChou病毒描述:运行样本过后,首先病毒提升自身权限在windows根目录下面生成一个sa.exe目录,并且设置改目录属性为隐藏只读然后调用cmd和taskkill结束wuauclt.exe进程(Wuauclt.exe是Windows自动升级管理程序,该进程会不断在线检测更新,删除该进程将使计算机无法得到最新更新信息)接着判断病毒的进程是否来自C:\WINDOWS\Fonts\wuauclt.exe,如果不是就将病毒原样本拷贝到C:\WIND 阅读全文
摘要:
我还能说些什么,除了蛋疼!! 不知道是几天前,我坑爹的用QQ安全管家把虚拟机的两个联网的服务删除了,结果你懂的,不能联网了。但是纠结的是XP没网,2003有网。各种百度、google后,试了无数种方法后,连上了两次网。我也不知道为何一定要XP有网,貌似XP开着也没用过几次网啊,但是就是不信邪,就是想搞定它。最后无奈了,重新装了一个VM8.0版本的。然后无意间又装了一个XP,然后今天有无意的把以前XP里面的东西复制到刚装的XP,一切搞定后,就把以前的XP删了。感觉这下事情总搞定了! 结果蛋疼的一幕发生了,用OD载入一个小软件过后,F8单步走,走一步,一秒钟,你们难以想像在这一秒,心里的滋味 =. 阅读全文
摘要:
【文章标题】: CUIT极客大挑战Crackwho破文【软件名称】: Crackwho【软件大小】: 36.5KB【下载地址】: http://www.kuaipan.cn/file/id_32222188979355669.html【加壳方式】: yoda's Protector 1.03.2 -> Ashkbiz Danehkar【保护方式】: 序列号保护【编写语言】: Microsoft Visual C++ 8.0 *【使用工具】: PEiD,OD【操作平台】: Windows Xp sp3【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!------- 阅读全文
摘要:
软件下载地址首先OD载入,在代码窗口(ALT+C)ctrl+B,查看二进制 FC DB E3,结果未找到。我们想到在内存里面也可以搜索,然后ALT+M打开内存,CTRL+B,继续查看二进制 FC DB E3,结果找到了,如图。接着选择这三个,右键下执行断点,F9运行,删除断点来到这1 0040C9FA FC cld ; (初始化 cpu 选择状态)2 0040C9FB DBE3 finit3 0040C9FD E8 F6FFFFFF call C... 阅读全文