2017年9月26日

[置顶] 课堂资料下载-有问题加群-为杜绝有广告泛滥.固加群收费.

摘要:逆向学习QQ群: 928825835 下图为二维码. 首先谢谢大家支持.其次欢迎大家入群交流学习.一起共勉.谢谢. 汇编课程总资料: 链接:https://pan.baidu.com/s/1QLYckfZkz7oK5WewShxJIg 密码:dd0g 常见代码注入课堂资料: 链接:http://pa 阅读全文

posted @ 2017-09-26 13:59 iBinary 阅读 (2154) 评论 (12) 编辑

2019年10月19日

windows内核代码之线程操作(只完成一部分暂不公开)

该文被密码保护。

posted @ 2019-10-19 19:26 iBinary 阅读 (1) 评论 (0) 编辑

windows内核代码之进程操作

摘要:[toc] 一丶简介 整理一下windows内核中.常用的代码.这里只整理下进程的相关代码. 二丶 windows内核之遍历进程 内核中记录进程的结构体是 EPROCESS 结构.所以只需要遍历这个结构即可.标准方法可以使用 ZwQuerySystemInformation 函数.使用 System 阅读全文

posted @ 2019-10-19 19:05 iBinary 阅读 (11) 评论 (0) 编辑

2019年10月17日

驱动中遍历模块,以及获取ntoskrnl.exe基址

摘要:方法是基于PsLoadModuleList方式 驱动中遍历模块 一丶简介 简介: 进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置. 提供了两个参数. 一个是DrIverObject另一个则是注册表路径. 其实遍历模块的技巧就在这个DriverObjec 阅读全文

posted @ 2019-10-17 17:42 iBinary 阅读 (37) 评论 (0) 编辑

2019年10月15日

ring0隐藏驱动.无痕代码.为尝试.学习后公开

该文被密码保护。

posted @ 2019-10-15 10:16 iBinary 阅读 (1) 评论 (0) 编辑

2019年10月14日

64位关闭写保护

摘要:64位关闭写保护 阅读全文

posted @ 2019-10-14 15:29 iBinary 阅读 (17) 评论 (0) 编辑

内核过DSE驱动签名验证.未尝试(暂不公开)

摘要:一丶简介 现在的驱动,必须都有签名才能加载.那么如何加载无签名的驱动模块那. 下面可以说下方法.但是挺尴尬的是,代码必须在驱动中编写.所以就形成了 你必须一个驱动带有一个签名加载进去.执行你的代码.pass掉DSE之后以后加载驱动就可以完全不用签名了. 原理: 原理就是Path一下CI内核模块.将一 阅读全文

posted @ 2019-10-14 11:53 iBinary 阅读 (8) 评论 (0) 编辑

2019年10月9日

利用环境变量自删除

摘要:利用环境变量自删除 阅读全文

posted @ 2019-10-09 16:05 iBinary 阅读 (25) 评论 (0) 编辑

2019年10月8日

内核中绕过注册表回调.模块线程进程回调监控(未全部尝试.暂时不公开)

该文被密码保护。

posted @ 2019-10-08 16:22 iBinary 阅读 (4) 评论 (0) 编辑

2019年9月30日

x32下的DLL隐藏

摘要:原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子. https://www.cnblogs.com/iBinary/p/9601860.html 检测: 阅读全文

posted @ 2019-09-30 17:28 iBinary 阅读 (43) 评论 (0) 编辑

2019年9月27日

x64内核强删文件.

摘要:[toc] x64内核中强删文件的实现 一丶简介 说道删除文件.有各种各样的方法. 有ring3 也有ring0. 而且也有许多对抗的方法. 如ring3想删除一个文件.被占用你就无法删除.此时可以通过解除句柄进行删除 ring0中想删除一个文件.有常规方法也有非常规方法.常规方法就是 设置文件属性 阅读全文

posted @ 2019-09-27 10:50 iBinary 阅读 (46) 评论 (0) 编辑

导航

统计