摘要:首先选择一个带界面的程序比如explorer.exe进行附加 kd> !process 0 0 explorer.exe PROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42
阅读全文
摘要:KeEnterCriticalRegion和KeLeaveCriticalRegion配合使用,能禁止用户模式APC和普通内核模式APC的调用,但是不能禁止特殊内核模式的调用(NormalRoutine为空的内核模式APC) KeEnterGuardedRegion和KeLeaveGuardedRe
阅读全文
摘要:进程保护部分参考 http://bbs.pediy.com/showthread.php?t=168023 进程保护,在任务管理器不能结束进程 我们使用任务管理器结束进程 结果是不能关闭的 文件保护
阅读全文
摘要:一、前言 最近在阅读A盾代码A盾电脑防护(原名 3600safe)anti-rootkit开放源代码,有兴趣的可以去看雪论坛下载,本文代码摘自其中的重载内核。 二、实现步骤 1.ZwQuerySystemInformation大法获得系统模块信息 NtosKrnl.exe 这里第一模块名称是根据单核
阅读全文
摘要:0x01 前言 APCs(Asynchronous Procedure Calls), 在NT中,有两种类型的APCs:用户模式和内核模式。用户APCs运行在用户模式下目标线程当前上下文中,并且需要从目标线程得到许可来运行。特别是,用户模式的APCs需要目标线程处在alertable等待状态才能被成
阅读全文
摘要:0x01 OBJECT_HEADER结构 这是对象的数据结构的形态,其中OBJECT_HEADER的结构如下 typedef struct _OBJECT_HEADER { LONBG PointerCount; union { LONG HandleCount; volatile PVOID Ne
阅读全文
摘要:0x01 前言 常用的枚举模块的方法是在PEB中的三条链来枚举模块。 这里记录另一种通过ZwQueryVirtualMemory暴力枚举模块的方法。 0x02 使用ZwQueryVirtualMemory暴力枚举模块 NTSTATUS NtQueryVirtualMemory(HANDLE Proc
阅读全文
浙公网安备 33010602011771号