欢迎来到IBinary的博客

想学习,有问题请加群.群号:928825835 群名称: 逆向学习小分队 群里有大量学习资源. 以及定期直播答疑.有一个良好的学习氛围. 涉及到外挂反外挂病毒 司法取证加解密 驱动过保护 VT 等技术.
大大大
小小小

2017年9月26日

[置顶] 课堂资料下载-有问题加群-为杜绝有广告泛滥.固加群收费.

摘要:逆向学习QQ群: 928825835 福利以及注意事项 注意: 1.进群第一时间改名.定期进行清理.名字不改别人问你技术都不知道怎么问你.给自己起个艺名. 2.群内禁止广告 黄图 等各种违法.这个自己多注意即可. 3.群里禁止装大手. 意为 如果有人问你问题.你做过这个而你抛出悬念. 而不详细说明. 阅读全文

posted @ 2017-09-26 13:59 iBinary 阅读 (2311) 评论 (12) 编辑

2019年12月4日

kernel 获取ntoskrnl.exe基址

摘要:标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64 bits为例,这是Eternalblue所用函数: x64内核态GS:0指向nt!_KPCR。对于x64,必须从相应的MSR中 阅读全文

posted @ 2019-12-04 17:33 iBinary 阅读 (24) 评论 (0) 编辑

2019年12月3日

ring3 x32挂起进程注入原理.

摘要:[toc] 一丶挂起进程注入简介与前言 挂起进程其实就是在创建进程的时候不让其先执行.然后获取它的EIP 将它的EIP变成我们ShellCode所在的内存.进行执行.不难. 主要分为几步: 1.以 CREATE_SUSPENDED 标志挂起创建一个你想注入的进程 2.获取这个进程的上下文环境 Get 阅读全文

posted @ 2019-12-03 17:52 iBinary 阅读 (29) 评论 (0) 编辑

CryEntryBuffer

该文被密码保护。

posted @ 2019-12-03 11:22 iBinary 阅读 (5) 评论 (0) 编辑

2019年10月19日

windows内核代码之线程操作(只完成一部分暂不公开)

该文被密码保护。

posted @ 2019-10-19 19:26 iBinary 阅读 (3) 评论 (0) 编辑

windows内核代码之进程操作

摘要:[toc] 一丶简介 整理一下windows内核中.常用的代码.这里只整理下进程的相关代码. 二丶 windows内核之遍历进程 内核中记录进程的结构体是 EPROCESS 结构.所以只需要遍历这个结构即可.标准方法可以使用 ZwQuerySystemInformation 函数.使用 System 阅读全文

posted @ 2019-10-19 19:05 iBinary 阅读 (126) 评论 (0) 编辑

2019年10月17日

驱动中遍历模块,以及获取ntoskrnl.exe基址

摘要:方法是基于PsLoadModuleList方式 驱动中遍历模块 一丶简介 简介: 进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置. 提供了两个参数. 一个是DrIverObject另一个则是注册表路径. 其实遍历模块的技巧就在这个DriverObjec 阅读全文

posted @ 2019-10-17 17:42 iBinary 阅读 (105) 评论 (0) 编辑

2019年10月15日

ring0隐藏驱动.无痕代码.为尝试.学习后公开

该文被密码保护。

posted @ 2019-10-15 10:16 iBinary 阅读 (4) 评论 (0) 编辑

2019年10月14日

64位关闭写保护

摘要:64位关闭写保护 阅读全文

posted @ 2019-10-14 15:29 iBinary 阅读 (67) 评论 (1) 编辑

内核过DSE驱动签名验证.

摘要:一丶简介 现在的驱动,必须都有签名才能加载.那么如何加载无签名的驱动模块那. 下面可以说下方法.但是挺尴尬的是,代码必须在驱动中编写.所以就形成了 你必须一个驱动带有一个签名加载进去.执行你的代码.pass掉DSE之后以后加载驱动就可以完全不用签名了. 原理: 原理就是Path一下CI内核模块.将一 阅读全文

posted @ 2019-10-14 11:53 iBinary 阅读 (58) 评论 (0) 编辑

2019年10月9日

利用环境变量自删除

摘要:利用环境变量自删除 阅读全文

posted @ 2019-10-09 16:05 iBinary 阅读 (51) 评论 (0) 编辑

导航