LYSHARK

摘要： 在Windows内核中，SSSDT（System Service Shadow Descriptor Table）是SSDT（System Service Descriptor Table）的一种变种，其主要用途是提供Windows系统对系统服务调用的阴影拷贝。SSSDT表存储了系统调用的函数地址，类似于SSDT表，但在某些情况下，Windows系统会使用SSSDT表来对系统服务进行引导和调用。SSSDT表的存在是为了加强系统的安全性和稳定性。通过使用SSSDT表，操作系统可以在运行时检查系统服务的合法性，并确保其不被非法修改。这有助于防止恶意软件或恶意行为修改系统服务地址，提高系统的整体安全性。 阅读全文

摘要： SSDT表（System Service Descriptor Table）是Windows操作系统内核中的关键组成部分，负责存储系统服务调用的相关信息。具体而言，SSDT表包含了系统调用的函数地址以及其他与系统服务相关的信息。每个系统调用对应SSDT表中的一个表项，其中存储了相应系统服务的函数地址。SSDT表在64位和32位系统上可能有不同的结构，但通常以数组形式存在。对于系统调用的监控、分析或修改等高级操作，常需要内核枚举SSDT表基址。这一操作通常通过内核模块实现，涉及技术手段如逆向工程和Hooking。 阅读全文

摘要： Jinja2，由Flask框架的创作者开发，是一款功能丰富的模板引擎，以其完整的Unicode支持、灵活性、高效性和安全性而备受推崇。最初受Django模板引擎启发，Jinja2为Flask提供了强大的模板支持，后来也成为其他项目的首选。在本文中，我们将深入探讨Jinja2的特性、语法以及如何在Flask应用中使用它来构建动态而又美观的Web页面。 阅读全文

摘要： flask_paginate 是 Flask 框架的一个分页扩展，用于处理分页相关的功能。它可以帮助你在 Flask Web 应用程序中实现分页功能，让用户可以浏览大量数据的不同部分。本篇博文重点讲述在Web开发中，用paginate把所有数据进行分页展示，首先通过运用第三方库实现后端分页，然后再自己编写一个分页类实现。 阅读全文

摘要： 计算机安全和数据隐私是现代应用程序设计中至关重要的方面。为了确保数据的机密性和完整性，常常需要使用加密和解密算法。C++是一种广泛使用的编程语言，提供了许多加密和解密算法的实现。本文将介绍一些在C++中常用的加密与解密算法，这其中包括Xor异或、BASE64、AES、MD5、SHA256、RSA等。 阅读全文

摘要： 本文介绍了一个基于 C++、SQLite 和 Boost 库的简单交互式数据库操作 Shell。该 Shell 允许用户通过命令行输入执行各种数据库操作，包括添加、删除主机信息，设置主机到特定主机组，以及显示主机和主机组列表。通过调用 SQLite3 库实现数据库连接和操作，以及使用 Boost 库进行字符串解析和格式化。该交互式 Shell 提供了一些基本的命令，使用户能够方便地管理主机信息和组织结构。代码结构清晰，易于理解，可根据需要扩展和定制功能。 阅读全文

摘要： 在笔者上一篇文章`《内核取应用层模块基地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址，由于是入门系列所以并没有封装实现太过于通用的获取函数，本章将继续延申这个话题，并依次实现通用版`GetUserModuleBaseAddress()`取远程进程中指定模块的基址和`GetModuleExportAddress()`取远程进程中特定模块中的函数地址，此类功能也是各类安全工具中常用的代码片段。 阅读全文

摘要： SQLite，作为一款嵌入式关系型数据库管理系统，一直以其轻量级、零配置以及跨平台等特性而备受青睐。不同于传统的数据库系统，SQLite是一个库，直接与应用程序一同编译和链接，无需单独的数据库服务器进程，实现了数据库的零配置管理。这种设计理念使得SQLite成为许多嵌入式系统、移动应用和小型项目中的首选数据库引擎。 阅读全文

摘要： Npcap 是一个功能强大的开源网络抓包库，它是 WinPcap 的一个分支，并提供了一些增强和改进。特别适用于在 Windows 环境下进行网络流量捕获和分析。除了支持通常的网络抓包功能外，Npcap 还提供了对数据包的拼合与构造，使其成为实现 UDP 数据包发包的理想选择。本章将通过Npcap库构造一个UDP原始数据包，并实现对特定主机的发包功能，通过本章的学习读者可以掌握如何使用Npcap库伪造特定的数据包格式。 阅读全文

摘要： Boost库为C++提供了强大的支持，尤其在多线程和网络编程方面。其中，Boost.Asio库是一个基于前摄器设计模式的库，用于实现高并发和网络相关的开发。Boost.Asio核心类是`io_service`，它相当于前摄模式下的`Proactor`角色。所有的IO操作都需要通过`io_service`来实现。在异步模式下，程序除了发起IO操作外，还需要定义一个用于回调的完成处理函数。`io_service`将IO操作交给操作系统执行，但它不同步等待，而是立即返回。调用`io_service`的`run`成员函数可以等待异步操作完成。当异步操作完成时，`io_service`会从操作系统获取结果，再调用相应的处理函数（handler）来处理后续逻辑。 阅读全文

摘要： 在笔者前一篇文章`《内核枚举Registry注册表回调》`中实现了对注册表的枚举，本章将实现对注册表的监控，不同于32位系统在64位系统中，微软为我们提供了两个针对注册表的专用内核监控函数，通过这两个函数可以在不劫持内核API的前提下实现对注册表增加，删除，创建等事件的有效监控，注册表监视通常会通过`CmRegisterCallback`创建监控事件并传入自己的回调函数，与该创建对应的是`CmUnRegisterCallback`当注册表监控结束后可用于注销回调。CmRegisterCallback和CmUnRegisterCallback是Windows操作系统提供的两个内核API函数，用于注册和取消注册注册表回调函数。 阅读全文

摘要： 在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态，这个功能看似没啥用实际上在某些特殊场景中还是需要的，如下代码实现了判断当前驱动是否加载成功，如果加载成功, 则输出该驱动的详细路径信息。该功能实现的核心函数是`NtQuerySystemInformation`这是一个微软未公开的函数，也没有文档化，不过我们仍然可以通过动态指针的方式调用到它，该函数可以查询到很多系统信息状态，首先需要定义一个指针。 阅读全文

摘要： CR3是一种控制寄存器，它是CPU中的一个专用寄存器，用于存储当前进程的页目录表的物理地址。在x86体系结构中，虚拟地址的翻译过程需要借助页表来完成。页表是由页目录表和页表组成的，页目录表存储了页表的物理地址，而页表存储了实际的物理页框地址。因此，页目录表的物理地址是虚拟地址翻译的关键之一。在操作系统中，每个进程都有自己的地址空间，地址空间中包含了进程的代码、数据和堆栈等信息。为了实现进程间的隔离和保护，操作系统会为每个进程分配独立的地址空间。在这个过程中，操作系统会将每个进程的页目录表的物理地址存储在它自己的CR3寄存器中。当进程切换时，操作系统会修改CR3寄存器的值，从而让CPU使用新的页目录表来完成虚拟地址的翻译。 阅读全文

摘要： 在 Windows 操作系统中，原生提供了强大的网络编程支持，允许开发者使用 Socket API 进行网络通信，通过 Socket API，开发者可以创建、连接、发送和接收数据，实现网络通信。本文将深入探讨如何通过调用原生网络 API 实现同步远程通信，并介绍了一个交互式 Socket 类的封装，提升了编写交互式服务器的便利性。 阅读全文

摘要： Boost.Asio 是一个功能强大的 C++ 库，用于异步编程和网络编程，它提供了跨平台的异步 `I/O` 操作。在这篇文章中，我们将深入分析一个使用 `Boost.Asio` 实现的简单端口映射服务器，该服务器能够将本地端口的数据包转发到指定的远程服务器上。端口映射通常用于将一个网络端口上的流量转发到另一个网络端口。这对于实现网络中间人攻击、内网穿透等场景非常有用。我们将使用 `Boost.Asio` 提供的异步操作来实现这个简单而功能强大的端口映射服务器。 阅读全文

摘要： 在数据处理和报告生成的领域中，Excel 文件一直是广泛使用的标准格式。为了让 Python 开发者能够轻松创建和修改 Excel 文件，XlsxWriter 库应运而生。XlsxWriter 是一个功能强大的 Python 模块，专门用于生成 Microsoft Excel 2007及以上版本（.xlsx 格式）的电子表格文件。本文将对XlsxWriter进行概述，探讨其主要特点、用法和一些实际应用，并实现绘制各类图例（条形图，柱状图，饼状图）等。 阅读全文

摘要： paramiko 是一个用于在Python中实现SSHv2协议的库，它支持对远程服务器进行加密的通信。目前该模块支持所有平台架构且自身遵循SSH2协议，支持以加密和认证的方式，进行远程服务器的连接，你可以在Python中实现SSH客户端和服务器，并进行安全的文件传输和远程命令执行。 阅读全文

摘要： SQLAlchemy 是用Python编程语言开发的一个开源项目，它提供了SQL工具包和ORM对象关系映射工具，使用MIT许可证发行，SQLAlchemy 提供高效和高性能的数据库访问，实现了完整的企业级持久模型。ORM（对象关系映射）是一种编程模式，用于将对象与关系型数据库中的表和记录进行映射，从而实现通过面向对象的方式进行数据库操作。ORM 的目标是在编程语言中使用类似于面向对象编程的语法，而不是使用传统的 SQL 查询语言，来操作数据库。 阅读全文

摘要： 在笔者上一篇文章`《内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的，本章将继续探索全新的注入方式，通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的，需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址，`NtCreateThreadEx`函数最终会调用`ZwCreateThread`，本章在寻找函数的方式上有所不同，前一章通过内存定位的方法得到所需地址，本章则是通过解析导出表实现。 阅读全文

摘要： SCM（Service Control Manager）服务管理器是 Windows 操作系统中的一个关键组件，负责管理系统服务的启动、停止和配置。服务是一种在后台运行的应用程序，可以在系统启动时自动启动，也可以由用户或其他应用程序手动启动。本篇文章中，我们将通过使用 Windows 的服务管理器（SCM）提供的API接口，实现一个简单的服务管理组件的编写。 阅读全文

摘要： Windows注册表（Registry）是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。它是一个层次结构的数据库，由键（Key）和值（Value）组成，这些键和值被用于存储各种系统和应用程序的配置信息。 阅读全文

摘要： Zlib是一个开源的数据压缩库，提供了一种通用的数据压缩和解压缩算法。它最初由`Jean-Loup Gailly`和`Mark Adler`开发，旨在成为一个高效、轻量级的压缩库，其被广泛应用于许多领域，包括网络通信、文件压缩、数据库系统等。其压缩算法是基于`DEFLATE`算法，这是一种无损数据压缩算法，通常能够提供相当高的压缩比。在Zlib项目中的`contrib`目录下有一个`minizip`子项目，minizip实际上不是`zlib`库的一部分，而是一个独立的开源库，用于处理ZIP压缩文件格式。它提供了对ZIP文件的创建和解压的简单接口。minizip在很多情况下与`zlib`一起使用，因为ZIP压缩通常使用了`DEFLATE`压缩算法。通过对`minizip`库的二次封装则可实现针对目录的压缩与解压功能。 阅读全文

摘要： 本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到`《内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数，在映射后对其PE格式进行相应的解析，并实现转换函数。 阅读全文

摘要： 在笔者上一篇文章`《内核解析PE结构导出表》`介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。PE结构（Portable Executable Structure）是Windows操作系统用于执行可执行文件和动态链接库（DLL）的标准格式。节表（Section Table）是PE结构中的一个部分，它记录了可执行文件或DLL中每个区域的详细信息，例如代码、数据、资源等。 阅读全文

摘要： 在笔者的上一篇文章`《内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址，并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，导出表无法动态获取，解析导出表则必须读入内核模块到内存才可继续解析，所以我们需要分两步走，首先读入内核磁盘文件到内存，然后再通过`ntimage.h`中的系列函数解析即可。 阅读全文

摘要： 本文介绍了几种常见的排序算法的实现，包括冒泡排序、选择排序、插入排序、希尔排序、归并排序和快速排序。冒泡排序通过多次遍历数组，比较并交换相邻元素，逐步将较小元素“浮”到数组顶端，时间复杂度为O(n^2)。选择排序通过选择未排序部分的最小元素进行交换，逐步完成整个数组排序，同样具有O(n^2)的时间复杂度。插入排序将数组分为已排序和未排序部分，逐个插入未排序元素到已排序部分的合适位置，时间复杂度为O(n^2)。希尔排序是插入排序的改进版本，通过分组插入排序，最终得到有序数组，时间复杂度在O(n log n)到O(n^2)之间。归并排序采用分治策略，递归拆分和合并数组，时间复杂度始终为O(n log n)，但需要额外空间。最后，快速排序通过选择基准值划分数组，并递归排序子数组，平均时间复杂度为O(n log n)，但最坏情况下为O(n^2)。这些算法各有特点，适用于不同场景。 阅读全文

摘要： 在Windows编程中，经常会遇到需要对数据进行压缩和解压缩的情况，数据压缩是一种常见的优化手段，能够减小数据的存储空间并提高传输效率。Windows提供了这些API函数，本文将深入探讨使用Windows API进行数据压缩与解压缩的过程，主要使用`ntdll.dll`库中的相关函数。 阅读全文

摘要： Web指纹识别是一种通过分析Web应用程序的特征和元数据，以确定应用程序所使用的技术栈和配置的技术。这项技术旨在识别Web服务器、Web应用框架、后端数据库、JavaScript库等组件的版本和配置信息。通过分析HTTP响应头、HTML源代码、JavaScript代码、CSS文件等，可以获取关于Web应用程序的信息。指纹识别在信息搜集、渗透测试、安全审计等方面具有重要作用。有许多开源和商业工具可以用于执行Web指纹识别，例如Wappalyzer、WebScarab、Nmap等。 阅读全文

摘要： PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下，如果想要得到PEB的基地址只需要取`fs:[0x30]`即可，TEB线程环境块则是`fs:[0x18]`，如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。 阅读全文

摘要： 在上一篇文章`《内核取ntoskrnl模块基地址》`中我们通过调用内核API函数获取到了内核进程`ntoskrnl.exe`的基址，当在某些场景中，我们不仅需要得到内核的基地址，也需要得到特定进程内某个模块的基地址，显然上篇文章中的方法是做不到的，本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。上一篇文章中的`PPEB32,PLIST_ENTRY32`等结构体定义依然需要保留，此处只保留核心代码，定义部分请看前一篇文章，自定义读取模块基址核心代码如下，调用`GetModuleBaseWow64()`用户需传入进程的`PROCESS`结构该结构可通过内核函数`PsLookupProcessByProcessId`获取到。 阅读全文