随笔分类 -  逆向分析

摘要：工具参考： https://github.com/goretk/redress https://github.com/0xjiayu/go_parser 一、先写一个程序 package main import "fmt" func main() { fmt.Println("Hello, Worl 阅读全文

摘要：一、计划任务简介 计划任务安装微软的接口是有Task Scheduler 1.0 和Task Scheduler 2.0，可以查看微软的链接About the Task Scheduler、Using The Task Scheduler，其中Task Scheduler 2.0是从VISTA之后才 阅读全文

摘要：一、背景 分析暗云4样本, 参考火绒对暗云4的分析, 对暗云4的MBR相关操作进行分析, 本篇着重查看暗云4在SATA磁盘上对磁盘上MBR的0-3F扇区的Hook隐藏。 二、暗云4的MBR隐藏 使用工具BOOTICE，查看运行样本前后的第一磁盘扇区，发现运行样本后，第一扇区被改写了，但是重启后第一扇 阅读全文

摘要：0x01 前言 我们知道R3层中，Zw系列函数和Nt系列函数函数是一样的，但是在内核Zw系列函数调用了Nt系列函数，但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢？Zw系列函数又是怎么调用Nt系列函数的呢？我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtect 阅读全文

摘要：本文是在讨论枚举进程的时候产生的，枚举进程有很多方法，Ring3就是ZwQuerySystemInformation()，传入SysProcessesAndThreadsInformation这个宏，或者用CreateToolhelp32Snapshot系统快照的方式枚举进程，还用就是用WTSOpe 阅读全文