随笔列表第2页 - f1yin9_0x5hark

-------- Rootkit 核心技术——利用 nt!_MDL 突破 KiServiceTable 的只读访问限制 Part II --------

摘要： ——————————————————————————————————————————————————————————————————————————————————————————— 本篇开始进入正题，因为涉及 MDL，所以相关的背景知识是必须的： nt!_MDL 代表一个“内存描述符链表”结构，它阅读全文

posted @ 2018-01-28 23:59 f1yin9_0x5hark 阅读(586) 评论(0) 推荐(1) 编辑

Rootkit 核心技术——利用 nt!_MDL（内存描述符链表）突破 SSDT（系统服务描述符表）的只读访问限制 Part I

摘要： ———————————————————————————————————————————————————————— 在 rootkit 与恶意软件开发中有一项基本需求，那就是 hook Windows 内核的系统服务描述符表（下称 SSDT），把该表中的特定系统服务函数替换成我们自己实现的恶意例程；阅读全文

posted @ 2018-01-26 23:11 f1yin9_0x5hark 阅读(615) 评论(0) 推荐(0) 编辑

------- 当前全球最新的 IPv4 地址池使用报告 -------

摘要： —————————————————————————————————————————————————————————————— 对于互联网行业相关的从业人员而言，时刻关注 IPv4 地址池的状态此类“ Internet 基础设施 ”是有必要的。下面我们就来看一下 “当前最新”（该报告实际上是在去年 1 阅读全文

posted @ 2018-01-20 20:50 f1yin9_0x5hark 阅读(692) 评论(0) 推荐(0) 编辑

----------- Rootkit 核心技术之绕过 IopParseDevice() 调用源检测逻辑 ---------------

摘要： ———————————————————————————————————————————————————————————————— 在上一篇文章中，我们已经看到 IopParseDevice() 如何对传入的 OPEN_PACKET 结构进行验证。假设 ObReferenceObjectByName( 阅读全文

posted @ 2018-01-18 00:24 f1yin9_0x5hark 阅读(945) 评论(0) 推荐(0) 编辑

--------驱动开发之 ObReferenceObjectByName() 故障排查--------

摘要： —————————————————————————————————————————————————————— 在写 filter driver 或 rootkit 时，经常需要 attach 到设备栈中的目标设备，来拦截途经的 IRP（I/O Request Packet），实现过滤功能。首先要获悉阅读全文

posted @ 2018-01-16 17:51 f1yin9_0x5hark 阅读(2641) 评论(2) 推荐(1) 编辑

f1yin9_0x5hark

导航

-------- Rootkit 核心技术——利用 nt!_MDL 突破 KiServiceTable 的只读访问限制 Part II --------

Rootkit 核心技术——利用 nt!_MDL（内存描述符链表）突破 SSDT（系统服务描述符表）的只读访问限制 Part I

------- 当前全球最新的 IPv4 地址池使用报告 -------

----------- Rootkit 核心技术之绕过 IopParseDevice() 调用源检测逻辑 ---------------

--------驱动开发之 ObReferenceObjectByName() 故障排查--------