Ring3注入隐藏模块.
该文被密码保护。
posted @ 2019-09-10 10:28 iBinary 阅读 (9) 评论 (0) 编辑
Ps回调函数.拦截驱动模块原理+实现.
摘要:[toc] 一丶简介 主要是讲解.内核中如何拦截模块加载的. 需要熟悉.内核回调的设置 PE知识. ShellCode 二丶原理 1.原理 原理是通过回调函数. 回调函数中有 ImageBase. 使用PE解析ImageBase 得到OEP. OEP位置写入 ret等ShellCode 如何判断 是 阅读全文
posted @ 2019-09-07 22:20 iBinary 阅读 (105) 评论 (0) 编辑
逆向对抗技术之ring3解除文件句柄,删除文件
摘要:[toc] 一丶简介 这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗. 二丶实战 + 环境模拟 1.环境模拟. 假设现在有一个进程.打开了你的文件.而你现在无法关系. 其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除. 这里遇到了句柄占用 阅读全文
posted @ 2019-08-26 18:48 iBinary 阅读 (96) 评论 (0) 编辑
windbg预览版,windbg preview配置win7x64双机调试
摘要:[toc] 一丶简介 Windbg配置双机调试的例子网上很多. 而Windbg Preview 确很少. 因为这个是个新版本的Windbg. 所以这里记录一下怎么配置. 二丶步骤 1.下载Windbg Preview (windbg预览版本) 关于Windbg Preview直接去官网下载即可. 好 阅读全文
posted @ 2019-08-23 16:54 iBinary 阅读 (290) 评论 (0) 编辑
DACL原理.控制文件的访问权限(文件,注册表.目录.等任何带有安全属性的对象.)
摘要:[toc] 一丶简介 1.DACL是什么. DACL称为自主访问的控制列表.是应用程序开发必要且重要的部分.由于空DACL 允许对所有用户进行类型的访问.所以一般程序开发中都是传入NULL 比如创建文件 原型: 一般安全属性都是传入NULL. 所以创建的文件所有人可以访问. 以文件举例.DACL是什 阅读全文
posted @ 2019-08-23 11:47 iBinary 阅读 (136) 评论 (0) 编辑
64位内核第十四讲,获取系统滴答数与日期时间
摘要:[toc] 一丶简介 在ring3层中.我们会使用 GetTickCount 这个函数,返回系统自启动到现在所经历的毫秒数.在驱动中也有一个对应的函数 KeQueryTickCount 二丶 获取系统滴答数,并进行转换. 2.1 获取滴答数与毫秒数 上面说了有对应函数获取. 但是 这个函数返回的 T 阅读全文
posted @ 2019-08-18 15:56 iBinary 阅读 (80) 评论 (0) 编辑
内核中通过进程PID获取进程的全部路径
摘要:[toc] 一丶简介 我们遇到的Dos路径.如果想转化为NT路径(也就是 C:\xxxx)类似的格式 需要自己实现. 具体原理如下: 二丶原理 1.原理 1.使用 ZwOpenProcess 通过进程PID获取HANDLE 2.使用 ZwQueryInformationProcess 查询Handl 阅读全文
posted @ 2019-08-18 01:11 iBinary 阅读 (132) 评论 (0) 编辑
内核中根据进程Pid获取卷的全目录
摘要:[toc] 一丶简介 在内核中有时候想通过PID 获取进程的全路径以达到监控的作用 比如我们设置了进程回调.则可以根据PID看下进程的全路径. 二丶原理 原理就是在内核中 通过 ZwQueryInformationProcess 这个未公开的函数 进行查询. 查询好是 ProcessImageFil 阅读全文
posted @ 2019-08-17 23:08 iBinary 阅读 (47) 评论 (0) 编辑
内核中PID_HANDLE_OBJECT等互相转换
摘要:[toc] 一丶简介 在内核中我们一般会使用各种 HANDLE Object 以及 ID等等. 那么有时候就需要互相转换.这里记录一下. 下面以进程为例进行说明. 1.进程pid 转化为 HANDLE 原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE 核心原理就是在内核中使用 Zw 阅读全文
posted @ 2019-08-17 22:03 iBinary 阅读 (44) 评论 (0) 编辑
