Acg!Check - 博客园

2015年2月2日

摘要：转自:黑客反病毒DLL注入技术之消息钩子注入消息钩子注入原理是利用Windows 系统中SetWindowsHookEx()这个API，他可以拦截目标进程的消息到指定的DLL中导出的函数，利用这个特性，我们可以将DLL注入到指定进程中。主要流程如下图所示1．准备阶段需要编写一个DLL，并且显... 阅读全文

posted @ 2015-02-02 21:04 Acg!Check 阅读(610) 评论(0) 推荐(0)

[转载]Dll注入技术之ComRes注入

摘要：转自:黑客反病毒DLL注入技术之ComRes注入 ComRes注入的原理是利用Windows 系统中C:\WINDOWS\system32目录下的ComRes.dll这个文件，当待注入EXE如果使用CoCreateInstance()这个API时，COM服务器会加载ComRes.dll到EXE中... 阅读全文

posted @ 2015-02-02 21:03 Acg!Check 阅读(472) 评论(0) 推荐(0)

[转载]Dll注入技术之注册表注入

摘要：转自:黑客反病毒论坛DLL注入技术之REG注入 DLL注入技术指的是将一个DLL文件强行加载到EXE文件中，并成为EXE文件中的一部分，这样做的目的在于方便我们通过这个DLL读写EXE文件内存数据，（例如 HOOK EXE文件中的API），或以被注入EXE的身份去执行一些操作等等。 REG注入... 阅读全文

posted @ 2015-02-02 21:02 Acg!Check 阅读(349) 评论(0) 推荐(1)

[转载]Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取

摘要：原文地址：点击打开链接为什么要写这篇文章 1.因为最近在学习《软件调试》这本书，看到书中的某个调试历程中讲了Windows的系统调用的实现机制，其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对W... 阅读全文

posted @ 2015-02-02 20:59 Acg!Check 阅读(397) 评论(0) 推荐(0)

[转载]关于chHANDLE_DLGMSG

摘要： ===========================================原文地址：点击打开链接最近读到windows核心编程作者制作的chHANDLE_DLGMSG 对话框消息处理宏#definechHANDLE_DLGMSG(hWnd,message,fn)/case(messag... 阅读全文

posted @ 2015-02-02 20:56 Acg!Check 阅读(537) 评论(0) 推荐(0)

[转载]使用 Lookaside List 分配内存

摘要： 1. 概述windows 提供了一种基于 lookaside list 的快速内存分配方案，区别于一般的使用 ExAllocatePoolWithTag() 系列函数的内存分配方式。每次从 lookaside list 里分配 fixed size 的内存。系统构建两个条 lookaside 链表... 阅读全文

posted @ 2015-02-02 18:44 Acg!Check 阅读(655) 评论(0) 推荐(0)

[转载]设备栈

摘要： 1. 栈结构设备栈（Device Stack）结构与内存中的栈类似，但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。如下图所示：并且由每个 device 的 DeviceExtension.AttachedTo 值指向下... 阅读全文

posted @ 2015-02-02 18:43 Acg!Check 阅读(1204) 评论(0) 推荐(0)

[转载]混淆代码中的push与pop操作

摘要：在分析代码混淆时，一般的指令是比较好分析的，但对于利用栈进行混淆处理这类代码是比较头痛的，编写对付这类代码的自动分析模块是比较麻烦的，恐怕得追踪记录栈的使用情况。例如，请分析下面10条代码，并将它的混淆部分去除，得到最简化代码。这是比较常见的一类混淆形式，实际上它只是一个混淆块的一部分: ..... 阅读全文

posted @ 2015-02-02 18:41 Acg!Check 阅读(864) 评论(0) 推荐(0)

[转载]一份LoadImage()函数代码，可以实现基本的重载内核

摘要：这里实现一个 LoadImage() 函数，用来加载目标 image 文件。如下面的用法： 1 ... ... 2 3 4 RtlInitUnicodeString(&ImageFile, L"\\??\\C:\\windows\\system32\\ntkrn... 阅读全文

posted @ 2015-02-02 18:39 Acg!Check 阅读(1022) 评论(0) 推荐(0)

[转载]DLL和exe里的malloc和free不能混用的问题

摘要：源自：http://bjwf.cndev.org/2004/06/03/559/http://bbs.csdn.net/topics/40214261======================================今天老玉米提了一个问题问为什么dll里malloc的内存如果在exe里fr... 阅读全文

posted @ 2015-02-02 17:17 Acg!Check 阅读(628) 评论(0) 推荐(0)