摘要:
x64内核中强删文件的实现 一丶简介 说道删除文件.有各种各样的方法. 有ring3 也有ring0. 而且也有许多对抗的方法. 如ring3想删除一个文件.被占用你就无法删除.此时可以通过解除句柄进行删除 ring0中想删除一个文件.有常规方法也有非常规方法.常规方法就是 设置文件属性为删除.然后 阅读全文
摘要:
[toc] 一丶简介 主要是讲解.内核中如何拦截模块加载的. 需要熟悉.内核回调的设置 PE知识. ShellCode 二丶原理 1.原理 原理是通过回调函数. 回调函数中有 ImageBase. 使用PE解析ImageBase 得到OEP. OEP位置写入 ret等ShellCode 如何判断 是 阅读全文
该文被密码保护。 阅读全文
摘要:
[toc] 一丶简介 这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗. 二丶实战 + 环境模拟 1.环境模拟. 假设现在有一个进程.打开了你的文件.而你现在无法关系. 其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除. 这里遇到了句柄占用 阅读全文
摘要:
[toc] 一丶简介 Windbg配置双机调试的例子网上很多. 而Windbg Preview 确很少. 因为这个是个新版本的Windbg. 所以这里记录一下怎么配置. 二丶步骤 1.下载Windbg Preview (windbg预览版本) 关于Windbg Preview直接去官网下载即可. 好 阅读全文
摘要:
[toc] 一丶简介 1.DACL是什么. DACL称为自主访问的控制列表.是应用程序开发必要且重要的部分.由于空DACL 允许对所有用户进行类型的访问.所以一般程序开发中都是传入NULL 比如创建文件 原型: 一般安全属性都是传入NULL. 所以创建的文件所有人可以访问. 以文件举例.DACL是什 阅读全文
摘要:
一丶定时器使用简介 这一篇主要讲一下 时间 日期 以及定时器的相关代码. 1.1 IO定时器 1.1 .1 I/O定时器的使用 在内核下 IO定时器是实现定时器的一种方式, IO定时器可以每隔 1S(一秒)来执行一次由程序员自定义的程序函数. 那么请看下面使用到的DDK函数. 主要是三个方法和一个 阅读全文
摘要:
[toc] 一丶简介 我们遇到的Dos路径.如果想转化为NT路径(也就是 C:\xxxx)类似的格式 需要自己实现. 具体原理如下: 二丶原理 1.原理 1.使用 ZwOpenProcess 通过进程PID获取HANDLE 2.使用 ZwQueryInformationProcess 查询Handl 阅读全文
摘要:
[toc] 一丶简介 在内核中有时候想通过PID 获取进程的全路径以达到监控的作用 比如我们设置了进程回调.则可以根据PID看下进程的全路径. 二丶原理 原理就是在内核中 通过 ZwQueryInformationProcess 这个未公开的函数 进行查询. 查询好是 ProcessImageFil 阅读全文
摘要:
一丶简介 在内核中我们一般会使用各种 HANDLE Object 以及 ID等等. 那么有时候就需要互相转换.这里记录一下. 下面以进程为例进行说明. 1.进程pid 转化为 HANDLE 原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE 核心原理就是在内核中使用 ZwOpenPr 阅读全文
摘要:
[toc] 一丶简介 在windows系统下.句柄是很常用的. 骚操作的方法可以通过句柄拷贝方式拷贝到另一个进程让其占用句柄.比如独占文件. 但是有时候比如驱动想删除文件.强删文件的时候就会用到句柄类型. 但是此时一般都是写死的.网上也很少相关资料.这里就介绍一下.怎么通过句柄获取指定句柄类型(任何 阅读全文
摘要:
遍历所有进程下的所有句柄,以及对应句柄类型. 一丶简介 在有的时候.我们会需要对应句柄名字.以及句柄类型的名称. 以及它所对应的的ID. 因为每个系统不一样.所以每次都是不一样的. 有的时候我们就需要借助Pchunter等类似的 Ark工具查看句柄名字. 以及对应的类型. 二丶原理讲解 想要获取 指 阅读全文
摘要:
x64下手工HOOK的方法 关于64位程序.网上HOOK方法一大堆.这里也记录一下. 了解跨平台HOOK的真相与本质. 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 在64位下 HOOK有几种方法. 一种是影响寄存器的值.另一种是不影响寄存器的值.各有优劣. 第一种: 不 阅读全文
摘要:
一丶简介 纯属兴趣爱好.特来逆向玩玩. PsSetLoadImageNotifyRoutine 是内核中用来监控模块加载.操作系统给我们提供的回调. 我们只需要填写对应的回调函数原型即可进行加监控. 既然可以进行监控.那么我们的回调函数存储在哪.这是个问题.所以特来逆向玩玩. 二丶逆向过程 首先我的 阅读全文
摘要:
[toc] 一丶前言 因自己工作,可能后面会写ark工具.所以周六周日没事就逆向了一下进程回调数组. 虽然资料很多.但是自己动手自己明白.总比别人给的好. 所以记一下自己的分析思路以及逆向结果. 内核中 PsSetCreateProcessNotifyRoutine 回调函数是用来设置进程监控的. 阅读全文
摘要:
#x64(32)下的进程保护回调. ##一丶进程保护线程保护 ###1.简介以及原理 以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束 其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了PG的情况下.其实操作系统也给你提供了回调进行保护 阅读全文
摘要:
#SSDTHOOK ###1.SSDTHOOK 原理. x32下,直接获取系统描述符表.以及调用号.就可以进行HOOK了. x64下可以设置回调来进行过滤我们想要的功能.当然如果你简单的过一下PatchGuard也可以设置SSDT HOOK. ###1.x32下的SSDT HOOK 首先SSDT 我 阅读全文
摘要:
ZwQueryInfoMation函数很简单.就是4个参数. 函数很简单.就4个参数. 参数已就是传个类型.代表你要查询什么类型.这个函数很强大.基本什么都是可以查询 参数2: 就是一个缓冲区.这个缓冲区是根据你查询的类型.当查询到数据.就会放到这个缓冲区.所以缓冲区可以接受你指定查询类型的数据.所 阅读全文
摘要:
内核中常用的数据结构 数据结构 何为数据结构 不管是Ring0还是Ring3数据结构都是必须要知道的.数据结构是一种思想. 以及怎么存储数据. 跟语言无关.平台无关. 如:(链表,数组,栈,队列.图.树...) ring0下数据结构非彼数据结构. 意思就是数据结构思想都是一样的. 你只需要熟悉rin 阅读全文