随笔分类 -  学习历程

1 2 下一页
记录我学习过程中的点滴
Tssyskit
摘要:#define TSSYSKIT_CTL_CREATEKEY0x222408 // ZwCreateKey()#define TSSYSKIT_CTL_KILLPROCESS0x222004 // ZwTerminateProcess()#define TSSYSKIT_CTL_OPENANDDELETEKEY0x222008 // ZwOpenKey(),ZwDeleteKey()#define TSSYSKIT_CTL_OPENANDDELETEVALUEKEY 0x22200C // ZwDeleteValueKey(),ZwOpenKey()#define TSSYSKIT_CTL_C 阅读全文
posted @ 2010-12-04 22:15 Tbit 阅读(788) 评论(0) 推荐(0)
[note]windbg无故不显示command窗口.
摘要:选择 windows->cascade floating windows 即可. 阅读全文
posted @ 2010-11-14 15:45 Tbit 阅读(414) 评论(0) 推荐(0)
[1.1]MBR感染
摘要:MBR感染,是DOS时代的事情了..那个时代的Dos机需要一个1.44MB大小的软盘来作为启动盘,于是MBR病毒就会大肆的感染MBR区,也感染了软盘的MBR...呵呵..现在的windows不需要通过软盘来启动了..但是现在的MBR感染应该不叫MBR感染了..叫改写了MBR区..windows下对MBR改写的可以参考下charme同学的<<MBR另类感染技术>>.下面贴一段... 阅读全文
posted @ 2010-10-30 16:47 Tbit 阅读(1226) 评论(0) 推荐(0)
从MBR Rootkit 谈起...
摘要:今天复习 windows internals 4th 的时候,看到chatper5,关于windows启动和停机的..突然想把这些开机启动的Rootkit技术,好好梳理一遍,下面列个目录吧,后续内容慢慢研究补上.[0.0]----Windows启动过程[1.0]----剖析MBR[2.0]----调试NTLDR[3.0]----分析Stoned Bootkit[4.0]----Detect and... 阅读全文
posted @ 2010-10-27 19:58 Tbit 阅读(1091) 评论(0) 推荐(0)
[note]chapter3--系统机制(IDT,GDT,SSDT,shadow SSDT)
摘要:这一章讲的有点多,与很多RK技术相关的也不少.具体来分析的话,想详细的剖析下以下知识点1.系统机制:@ IDT@ GDT@ SSDT@ Shadow SSDT@ 增加一个系统服务分发上面这些,包括一些HOOK技术,可能都显得很古老了,但是真正剖析和理解清楚,还是需要下一番功夫的.2.windows对象管理详解3.WinObj的设计与实现4.句柄表剖析.@@ IDT 检测关于IDT_Hook技术可以... 阅读全文
posted @ 2010-10-13 11:48 Tbit 阅读(709) 评论(0) 推荐(0)
[note]chapter2--系统结构
摘要:这一章讲述的比较宏观,没太多细节可以分析的.需要注意的几个地方.1.Windows子系统Csrss.exe包含对下列的支持:@ 控制台窗口@ 创建或删除进程和线程@ 对16位虚拟DOS机进程的一部分支持.关于Csrss.exe以后再详细剖析了.附上盟主的一篇文章<<详解进程创建中与csrss的通信流程>>Win32k.sys包含:@ 窗口管理器@ 图形设备接口关于Win32... 阅读全文
posted @ 2010-10-13 11:37 Tbit 阅读(238) 评论(0) 推荐(0)
[note]贴一些常用的串指令,方便查阅
摘要:MOVSLODSCLDCMPSSTOSREPSTDSCAS  MOVS ( MOVe String) 串传送指令MOVB //字节串传送 DF=0, SI = SI + 1 , DI = DI + 1 ;DF = 1 , SI = SI - 1 , DI = DI - 1MOVW //字串传送 DF=0, SI = SI + 2 , DI = DI + 2 ;DF = 1 , SI = SI - ... 阅读全文
posted @ 2010-10-02 00:01 Tbit 阅读(417) 评论(0) 推荐(0)
[note]Minifilter框架程序
摘要:Windows的fltMgr.sys提供了一个I/O过滤框架,它允许一种被称为文件系统微过滤驱动(MiniFilter)的dirver被加载到系统中.并向FltMgr注册它要过滤的哪些I/O操作.FltMgr是文件系统过滤管理器,它提供了一个管理框架,以方便开发人员编写文件驱动过滤程序(File System Filter Driver--FSFD).可过滤的I/O操作包括:基于IRP的I/O请求... 阅读全文
posted @ 2010-09-24 23:08 Tbit 阅读(3593) 评论(0) 推荐(0)
[note]Windows缓存管理机制分析(一)
摘要:1.Windows的缓存管理器概述1.1 缓存管理器介于内存管理器(VMM)和文件系统驱动程序(FS)之间,它包含一组以"Cc"打头的内核模式函数,全局变量,以及一些系统线程.1.2 缓存管理器(CM)以虚拟块(Virtual Block)为基础来缓存数据, 这使得可以在不涉及文件系统驱动程序的情况下进行智能预读((Read_Ahead)和延迟(Lazy_Write)1.3 Windows缓存管理... 阅读全文
posted @ 2010-09-20 15:15 Tbit 阅读(2049) 评论(0) 推荐(0)
[note]枚举进程之二(句柄表分析篇)
摘要:继续接着上篇,这一篇说下句柄表,关于handletable,其实也已经相当科普了~基础知识还是学习下吧.继续引用下V大的思路.3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的handletable获得进程表g在解释如何通过这些思路枚举进程的时候,我们还是... 阅读全文
posted @ 2010-09-18 03:23 Tbit 阅读(1619) 评论(0) 推荐(0)
[mark]关于FS的一点点资料链接..
摘要:1.File System Filter Driver Tutorialhttp://www.codeproject.com/KB/system/fs-filter-driver-tutorial.aspx2.NTFShttp://www.codeproject.com/info/search.aspx?artkw=File+System3.Undelete a file in NTFShttp:... 阅读全文
posted @ 2010-08-30 22:45 Tbit 阅读(469) 评论(0) 推荐(0)
[zz]古老的MBR感染---MBR/BS Infection
摘要:1.Introduction============== In my search for knowledge, I found many tutorials out there that werecreated to show the user how to code a simple boot sector virus. Although thetutes were very good in ... 阅读全文
posted @ 2010-08-25 23:00 Tbit 阅读(747) 评论(0) 推荐(0)
[zz]一个简单加密病毒的框架
摘要:.386p.model flat ,stdcalloptions casemap:nonejumps.data.codeVirusStart:;重定位calldeltadelta:popebpmoveax,ebpsubebp,offset deltasubeax,RedundatSizesubeax,1000hNewEip equ $-4movdword ptr [ebp+AppBase],eax... 阅读全文
posted @ 2010-08-25 09:19 Tbit 阅读(460) 评论(0) 推荐(0)
[note]注册表之HIVE
摘要:1.HIVE结构 首先,要明白的是注册表是由多个hive文件组成. 而一个hive是由许多bin组成,一个bin是由很多cell组成. 而cell可以有好几种类型.比如keycell(cm_key_node)valuecell(CM_KEY_VALUE)subbkey-listcell,value-listcell等 当新的数据要扩张一个hive时,总是按照block的粒度(4kb)来增加,一个h... 阅读全文
posted @ 2010-08-08 01:51 Tbit 阅读(1523) 评论(0) 推荐(0)
近期的学习和研究计划
摘要:近期的学习和研究计划:主要是围绕xuetr的仿写来研究:但是要考试了,真TM悲剧啊~~~1.MFC的学习一直多没怎么写界面,而且C++也落下一年没看了,MFC去年暑假搞了一下,没深入了,能把界面整出来就好~~侯杰的<MFC深入浅出>,<VC++技术内幕>2.关于内核的一些计划和资料: 1.进程和内核模块参考部分 实现进程查看,具体见xuetr,相关资料参考, 自己在H:,搜... 阅读全文
posted @ 2010-06-05 11:36 Tbit 阅读(335) 评论(0) 推荐(0)
乱七八糟的,mark的东西...
摘要:搞了一个下午了,把混乱的思绪整理下,留着以后参考吧.想仿写linxer牛的Xuetr,先把简单的一些整整吧,菜就菜吧,反正一直多这么菜.没整gui,先把思路和一些乱七八糟的代码搞定的说.关于进程查看.1.遍历EPROCESS中的ActiveProcessLinks枚举进程2.貌似这个也不是很稳定,记得查看下PsLookupProcessByProcessId(google下吧,sudami大大的文... 阅读全文
posted @ 2010-05-29 19:47 Tbit 阅读(171) 评论(0) 推荐(0)
LockSuite的设计方案(Mark一下~~~)
摘要:LockSuite的设计方案.LockSuite的实现目标:为用户提供更好的隐私保护.包含以下几个模块:1.LockMouse:锁定鼠标的移动范围.2.LockKeyboard:锁定键盘,可以设定热键来进行解锁.比如ctrl+u3.LockScreen:锁定屏幕,同样可以设定热键来解锁4.LockEXE:锁定EXE文件,即PE文件.为应用程序加把锁.5.LockFile:实现文件的透明加密,驱动级... 阅读全文
posted @ 2010-05-13 22:13 Tbit 阅读(289) 评论(0) 推荐(0)
[note]KTHREAD结构相关
摘要:在用户模式下,段寄存器FS指向当前线程的TEB,所以FS:[0X18]就是指针Self,其内容就是TEB的起点.在内核模式下,FS指向的是KPCR(Kernel's Processor Control Region)结构,而mov reg,FS:[124h]   //reg可表示eax,edx,ebx,.....这样就能获得当前线程的指针(KTHREAD结构体)现在看看相关获取KTHREAD指针的... 阅读全文
posted @ 2010-05-12 18:17 Tbit 阅读(1339) 评论(0) 推荐(0)
剖析一个典型的Keyboard_Hook
摘要://本人巨菜,纯粹的学习笔记//高手飘过就可以了//不当之处还请指出,谢谢了.//先mark下,回头再弄,笔记本没电了...1.键盘过滤2.深入native application3.进程与线程 EPROCESS 分析//关于I/O堆栈1.当前设备堆栈不对IRP做任何处理.//给出一个通用的DispatchCommon函数NTSTATUS DispatchCommon(IN PDEVICE_OBJ... 阅读全文
posted @ 2010-05-11 01:28 Tbit
推荐点书,说点学习路线...
摘要:[乱弹学习]    by Tbit;=========================================================================================0.扯淡的一些话;====================================================================================... 阅读全文
posted @ 2010-04-01 01:14 Tbit

1 2 下一页