随笔档案「2008年12月」 - 执空法坛

AutoHotKey Script解密

摘要：1.此程序采用UPX加壳，Script解密前会进行CRC32校验，校验码存放于文件最后一个双字，因此最好是带壳解密2.它会全文件搜索AutoHotKey的特征串A3 48 4B BE-98 6C 4A A9-99 4C 53 0A-86 D6 48 7D，并以此确定被加密的Script所处的位置3.它会对16字节特征串后的几个字节进行解密对比，以确定Script的类型，而采用不同的方式解密4.比较... 阅读全文

posted @ 2008-12-24 10:22 执空法坛阅读(1997) 评论(0) 推荐(0)

wininet　api函数使用经验点滴

摘要：一.使用HttpSendRequestEx后，如需使用HttpQueryInfo，需先用HttpEndRequest结束Request二.BOOL HttpQueryInfo( IN HINTERNET hHttpRequest, IN DWORD dwInfoLevel, IN LPVOID lpvBuffer, IN LPDWORD lpdwBufferLength, IN OUT LPDWO... 阅读全文

posted @ 2008-12-23 15:47 执空法坛阅读(6208) 评论(2) 推荐(0)

干掉safeboxTray.exe

摘要：转载自骁骑营的伙夫BLOG #include #include #include typedef DWORD (_stdcall *_ZwDuplicateObject)( IN HANDLE SourceProcessHandle, IN PHANDLE SourceHandle... 阅读全文

posted @ 2008-12-23 11:43 执空法坛阅读(998) 评论(0) 推荐(0)

关闭Window

该文被密码保护。

posted @ 2008-12-19 14:04 执空法坛阅读(3) 评论(0) 推荐(0)

借刀杀人之KillFile

该文被密码保护。

posted @ 2008-12-19 11:19 执空法坛阅读(0) 评论(0) 推荐(0)

如何禁止Windows文件保护

摘要：如何禁止Windows文件保护 2007-09-30 18:01 下面介绍如何禁止Windows文件保护（WFP）。我们先来了解下WFP是如何工作的。相关的文件是sfc_os.dll（2000下是sfc.dll,在xp下也有sfc.dll文件，但都是调用sfc_os.dll的功能）和 ... 阅读全文

posted @ 2008-12-18 18:23 执空法坛阅读(1164) 评论(0) 推荐(0)

在Win2000/XP上安静地替换正在使用的系统文件

摘要：在Win2000/XP上安静地替换正在使用的系统文件创建时间：2004-02-29 文章属性：原创文章提交：bgate (bgate_at_163.com) 作者：bgate 邮件：t2di4u@hotmail.com (要找个没被用过的id真不是件容易的事): 总是索而不敷总有些过意不去.另外在安焦上灌了两年水竟然安焦文档还找不到一个我的名字. 灌不出篇精华帖子还回复不到别人灌的... 阅读全文

posted @ 2008-12-18 18:21 执空法坛阅读(297) 评论(0) 推荐(0)

利用IDT表地址检测VM

摘要：Red Pill... or how to detect VMM using (almost) one CPU instruction Joanna Rutkowska http://invisiblethings.org/ November 2004 Swallowing the Red Pill is more or less equivalent to the following code ... 阅读全文

posted @ 2008-12-15 19:30 执空法坛阅读(669) 评论(0) 推荐(0)

ASProtect V1.31 build 06.14主程序脱壳

摘要：明月几时有——ASProtect V1.31 build 06.14主程序脱壳【脱壳目标】：ASProtect V1.31 build 06.14的主程序ASProtect.exe 【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！【调试环境】：WinXP、OllyDBG、PEiD、PETools、Imp... 阅读全文

posted @ 2008-12-10 11:07 执空法坛阅读(2617) 评论(0) 推荐(0)

管理员组获取系统权限的完美解决方案

摘要：管理员组获取系统权限的完美解决方案创建时间：2005-04-28 文章属性：原创文章提交：suei8423 (suei8423_at_163.com) 管理员组获取系统权限的完美解决方案 Author : ZwelL Blog : http://www.donews.net/zwell Date : 2005.4.28 关于管理员组(administrators)获取系... 阅读全文

posted @ 2008-12-07 16:47 执空法坛阅读(567) 评论(0) 推荐(0)

重定位代码Repair

摘要：此类指令都为6个字节大致试验结果如下：第一个字节跟操作类型相关，第二个字节跟寄存器相关，后面四个字节为地址第二个字节高四位必须为8,9,A,B四个中的一个，低四位必为5和D中的一个，产生８种排列组合，分别代表８个寄存器第一个能够使用到[EBP+XXXX]的操作数如下： 0X ADD/OR 1X ADC/SBB 2X SUB/ADD 3X CMP/XOR 8X AD... 阅读全文

posted @ 2008-12-04 16:38 执空法坛阅读(303) 评论(0) 推荐(0)

MS Windows GDI Local Privilege Escalation Exploit (MS07-017) 2

摘要：MS Windows GDI Local Privilege Escalation Exploit (MS07-017) 2 /* GDI Local Elevation of Privilege Vulnerability Exploit (MS07-017) Coded by Lionel d'Hauenens http://www.labo-asso.com Developmen... 阅读全文

posted @ 2008-12-03 09:40 执空法坛阅读(372) 评论(0) 推荐(0)

IP Helper API 简介

摘要：IP Helper API 简介 ... 阅读全文

posted @ 2008-12-03 09:36 执空法坛阅读(4420) 评论(0) 推荐(0)

城里城外看SSDT

摘要：Submitted by 李马 on 2007, July 5, 12:00 PM. 技术的角落您可以任意转载这篇文章，但请在转载时注明原始链接和作者，谢谢。引子 2006年，中国互联网上的斗争硝烟弥漫。这时的战场上，先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit…… 前不久... 阅读全文

posted @ 2008-12-01 14:09 执空法坛阅读(626) 评论(0) 推荐(0)

执空法坛

公告

12 2008 档案