08 2019 档案
摘要:[toc] 一丶简介 这些问题主要是工作中会遇到.包括后面的逆向对抗技术.有的可能只会提供思路.并且做相应的解决与对抗. 二丶实战 + 环境模拟 1.环境模拟. 假设现在有一个进程.打开了你的文件.而你现在无法关系. 其中一个原因就是句柄被占用了. 因为句柄占用的原因你无法删除. 这里遇到了句柄占用
阅读全文
摘要:[toc] 一丶简介 Windbg配置双机调试的例子网上很多. 而Windbg Preview 确很少. 因为这个是个新版本的Windbg. 所以这里记录一下怎么配置. 二丶步骤 1.下载Windbg Preview (windbg预览版本) 关于Windbg Preview直接去官网下载即可. 好
阅读全文
摘要:[toc] 一丶简介 1.DACL是什么. DACL称为自主访问的控制列表.是应用程序开发必要且重要的部分.由于空DACL 允许对所有用户进行类型的访问.所以一般程序开发中都是传入NULL 比如创建文件 原型: 一般安全属性都是传入NULL. 所以创建的文件所有人可以访问. 以文件举例.DACL是什
阅读全文
摘要:一丶定时器使用简介 这一篇主要讲一下 时间 日期 以及定时器的相关代码. 1.1 IO定时器 1.1 .1 I/O定时器的使用 在内核下 IO定时器是实现定时器的一种方式, IO定时器可以每隔 1S(一秒)来执行一次由程序员自定义的程序函数. 那么请看下面使用到的DDK函数. 主要是三个方法和一个
阅读全文
摘要:[toc] 一丶简介 我们遇到的Dos路径.如果想转化为NT路径(也就是 C:\xxxx)类似的格式 需要自己实现. 具体原理如下: 二丶原理 1.原理 1.使用 ZwOpenProcess 通过进程PID获取HANDLE 2.使用 ZwQueryInformationProcess 查询Handl
阅读全文
摘要:[toc] 一丶简介 在内核中有时候想通过PID 获取进程的全路径以达到监控的作用 比如我们设置了进程回调.则可以根据PID看下进程的全路径. 二丶原理 原理就是在内核中 通过 ZwQueryInformationProcess 这个未公开的函数 进行查询. 查询好是 ProcessImageFil
阅读全文
摘要:一丶简介 在内核中我们一般会使用各种 HANDLE Object 以及 ID等等. 那么有时候就需要互相转换.这里记录一下. 下面以进程为例进行说明. 1.进程pid 转化为 HANDLE 原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE 核心原理就是在内核中使用 ZwOpenPr
阅读全文
摘要:[toc] 一丶简介 在windows系统下.句柄是很常用的. 骚操作的方法可以通过句柄拷贝方式拷贝到另一个进程让其占用句柄.比如独占文件. 但是有时候比如驱动想删除文件.强删文件的时候就会用到句柄类型. 但是此时一般都是写死的.网上也很少相关资料.这里就介绍一下.怎么通过句柄获取指定句柄类型(任何
阅读全文
摘要:遍历所有进程下的所有句柄,以及对应句柄类型. 一丶简介 在有的时候.我们会需要对应句柄名字.以及句柄类型的名称. 以及它所对应的的ID. 因为每个系统不一样.所以每次都是不一样的. 有的时候我们就需要借助Pchunter等类似的 Ark工具查看句柄名字. 以及对应的类型. 二丶原理讲解 想要获取 指
阅读全文
摘要:x64下手工HOOK的方法 关于64位程序.网上HOOK方法一大堆.这里也记录一下. 了解跨平台HOOK的真相与本质. 一丶HOOK的几种方法之远跳 1. 远跳 不影响寄存器 + 15字节方法 在64位下 HOOK有几种方法. 一种是影响寄存器的值.另一种是不影响寄存器的值.各有优劣. 第一种: 不
阅读全文
摘要:一丶简介 纯属兴趣爱好.特来逆向玩玩. PsSetLoadImageNotifyRoutine 是内核中用来监控模块加载.操作系统给我们提供的回调. 我们只需要填写对应的回调函数原型即可进行加监控. 既然可以进行监控.那么我们的回调函数存储在哪.这是个问题.所以特来逆向玩玩. 二丶逆向过程 首先我的
阅读全文
浙公网安备 33010602011771号