f1yin9_0x5hark

------ 任何人对于内存的需求都不会超过 640k ------

My Links

2018年2月18日 #

------ 新春第一炮:阶乘算法性能分析与 double fault 蓝屏故障排查 Part I ------

摘要: —————————————————————————————————————————————————————————————————————————— 春节期间闲来无事想研究下算法,上机测试代码却遇到了意外错误,在此记录整个过程,祝各位新的一年在算法设计和故障排查方 面的思维敏锐度媲美 dog 的嗅觉阅读全文

posted @ 2018-02-18 17:04 f1yin9_0x5hark 阅读(109) 评论(1) 编辑

2018年2月13日 #

------- 软件调试——注销 QQ 过滤驱动设置的事件通知 CallBack (完)-------

摘要: —————————————————————————————————————————————————————————————————————————————————— 本系列的最后一篇演示如何通过调试手段摘除 QQ 过滤驱动设置的事件通知 CallBack。 内核中有几个全局的数组用来存放这些事件通知阅读全文

posted @ 2018-02-13 01:03 f1yin9_0x5hark 阅读(158) 评论(1) 编辑

2018年2月9日 #

------- 软件调试——还原 QQ 过滤驱动对关键内核设施所做的修改 -------

摘要: ———————————————————————————————————————————————————————————————————————————————— 在前一篇博文中,我们已经处理完最棘手的部分:杀掉 QQFrmMgr.sys 创建的系统线程。剩余的工作就轻松多了——移除 QQFrmMgr阅读全文

posted @ 2018-02-09 00:53 f1yin9_0x5hark 阅读(246) 评论(3) 编辑

2018年2月5日 #

------- 软件调试——挫败 QQ.exe 的内核模式保护机制 -------

摘要: ———————————————————————————————————————————————————————————————————————— QQ 是一款热门的即时通信(IM)类工具,在安装时刻会向系统分区的 \..\windows\system32\drivers 路径下生成两个驱动程序文件:阅读全文

posted @ 2018-02-05 23:20 f1yin9_0x5hark 阅读(1268) 评论(16) 编辑

2018年1月29日 #

-------- ROOTKIT 核心技术——系统服务调度表挂钩调试(PART III) --------

摘要: ———————————————————————————————————————————————————————————————————————————————————————— 本篇开始进行真枪实弹的调试,本文的最后会附上完整的源码包,方便各位在自己的机器上演练。 如果安装了 Windows Dri阅读全文

posted @ 2018-01-29 20:20 f1yin9_0x5hark 阅读(172) 评论(0) 编辑

2018年1月28日 #

-------- Rootkit 核心技术——利用 nt!_MDL 突破 KiServiceTable 的只读访问限制 Part II --------

摘要: ——————————————————————————————————————————————————————————————————————————————————————————— 本篇开始进入正题,因为涉及 MDL,所以相关的背景知识是必须的: nt!_MDL 代表一个“内存描述符链表”结构,它阅读全文

posted @ 2018-01-28 23:59 f1yin9_0x5hark 阅读(126) 评论(0) 编辑

2018年1月26日 #

Rootkit 核心技术——利用 nt!_MDL(内存描述符链表)突破 SSDT(系统服务描述符表)的只读访问限制 Part I

摘要: ———————————————————————————————————————————————————————— 在 rootkit 与恶意软件开发中有一项基本需求,那就是 hook Windows 内核的系统服务描述符表(下称 SSDT),把该表中的 特定系统服务函数替换成我们自己实现的恶意例程;阅读全文

posted @ 2018-01-26 23:11 f1yin9_0x5hark 阅读(145) 评论(0) 编辑

2018年1月20日 #

------- 当前全球最新的 IPv4 地址池使用报告 -------

摘要: —————————————————————————————————————————————————————————————— 对于互联网行业相关的从业人员而言,时刻关注 IPv4 地址池的状态此类“ Internet 基础设施 ”是有必要的。下面我们就来看一下 “当前最新”(该报告实际上是在去年 1阅读全文

posted @ 2018-01-20 20:50 f1yin9_0x5hark 阅读(79) 评论(0) 编辑

2018年1月18日 #

----------- Rootkit 核心技术之绕过 IopParseDevice() 调用源检测逻辑 ---------------

摘要: ———————————————————————————————————————————————————————————————— 在上一篇文章中,我们已经看到 IopParseDevice() 如何对传入的 OPEN_PACKET 结构进行验证。假设 ObReferenceObjectByName(阅读全文

posted @ 2018-01-18 00:24 f1yin9_0x5hark 阅读(36) 评论(0) 编辑

2018年1月16日 #

--------驱动开发之 ObReferenceObjectByName() 故障排查--------

摘要: —————————————————————————————————————————————————————— 在写 filter driver 或 rootkit 时,经常需要 attach 到设备栈中的目标设备,来拦截途经的 IRP(I/O Request Packet),实现过滤功能。首先要获悉阅读全文

posted @ 2018-01-16 17:51 f1yin9_0x5hark 阅读(47) 评论(0) 编辑