m4sterx

摘要： 阅读全文

摘要： x64 下的calc +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0x1 '' +0x003 BitField : 0x8 '' +0x003 ImageUsesLargePages : 0y0 ... 阅读全文

摘要： 右键项目属性，Build Events -> Pre-Build Event : 设置 Command Line call "..\..\..\Bin\BuildVersionControl.exe" 意思就是在编译前，调用BuildVersionControl.exe ;此程序会修改 自定义的#d 阅读全文

摘要： 1 FILETIME ft = { 0 }; 2 SYSTEMTIME st = { 0 }; 3 ULARGE_INTEGER ull = { 0 }; 4 ::GetSystemTime(&st); 5 ::SystemTimeToFileTime(&st, &ft); 6 ull.LowPar 阅读全文

摘要： http://chenhailong.iteye.com/blog/1856505 GetVersionEx 在win8以后已经不好用了，请使用RtlGetVersion ，具体使用请查看MSDN 还可以利用 _KUSER_SHARED_DATA 获取准确的 版本号 win10 系统下x86 程序调 阅读全文

摘要： shellcode 框架需要工具辅助：例如将函数名称转化为hash的工具、将ascii或者unicode字符串转DWORD数组的工具。 这里我将这2个工具结合在一起弄了个带UI的MFC的程序来辅助开发我们的工程。 代码我就不给出了其实很简单。如有需要我会继续给它增加新功能并分享于此 链接: http 阅读全文

摘要： 偏移　说明 00 只想SEH链表指针 04 线程堆栈顶部（地址最小） 08 线程堆栈底部（地址最大） 0c SubSystemTib 10 FiberData 14 ArbitraryUserPointer 18 FS 段寄存器在内存中的镜像 20 进程PID 24 线程ID 2c 指向线程局部存储 阅读全文

摘要： 目前旧shellcode框架最致命的问题是：须将所有函数实现放在2个标志中间，再利用2个标志去准确dump出shellocde。 随着功能的越来越多，函数也在不断增加，这就增加了代码的管理。 所以就萌发了将不同函数分门别类的放在不同的c文件编码管理，最后还得准确无误的dump出shellcode文件 阅读全文

摘要： 之前写了个安装器，可以绕过UAC安装服务。后来经测试Avg zend pro(我一个朋友在免杀时，在这个杀软上栽了不少跟头），我就安装测试了下，发现avg好生强悍，直接把我的杀了。 一开始怀疑是AVG插入的dll在监控搞怪，就把经历放在如何反hook伤了，就有了上一篇 反ring3 hook dem 阅读全文

摘要： 今天对CounterHookdll 进行了兼容性改进： 1. 对写入地址end的获取进行了优化改进 2. 增加hash计算，判断写入是否成功 3. 发现被inlinehook的dll 增加些打印信息 阅读全文