摘要:作者:Enrico Martignetti译者:zhouws/kkindof qq5771067原文:http://www.opening-windows.com/download/apcinternals/2009-05/windows_vista_apc_internals.pdfAPC基础概念... 阅读全文
posted @ 2015-09-23 11:25 kkindof 阅读(376) 评论(0) 推荐(0) 编辑
摘要:最近写的一个内存注入:注入目标模块到目标进程中,并使用内存peloader的方式运行注入的模块。在模块运行时,在目标进程空间内只能看到image类型的内存,几乎隐身无痕下载地址 阅读全文
posted @ 2015-03-17 16:59 kkindof 阅读(680) 评论(0) 推荐(0) 编辑
摘要:本篇blog的内核可能会杂乱无章,未成年禁止观看:)一。首先对于内核插32bit user apc的情况,内核有一个导出但undoucmented的函数来处理的,如下:nt!PsWrapApcWow64Thread:fffff800`0291b020 65488b042588010000 mov rax,qword ptr gs:[188h]fffff800`0291b029 488b4870 mov rcx,qword ptr [rax+70h]fffff800`0291b02d 4883b92003000000 cmp qword ptr [rcx+320... 阅读全文
posted @ 2013-07-16 17:22 kkindof 阅读(1371) 评论(0) 推荐(0) 编辑
摘要:一.事由二.问题三.追踪溯源四.解决问题五.完**********************************************************************************************一. 事由最近有个需求是需要在32bit进程的某个线程A在调用createthread创建线程B的时候,如果线程B的起始地址符合指定的值则需要把该进程dump出来,由于指定的系统环境是windows 64位,不能HOOK,所以采用了PsSetCreateThreadNotifyRoutine的方式,在CreateThreadNotify得到调用时,判断创建的线程起 阅读全文
posted @ 2013-07-16 15:26 kkindof 阅读(4447) 评论(1) 推荐(1) 编辑
该文被密码保护。 阅读全文
posted @ 2013-05-06 17:28 kkindof 阅读(16) 评论(0) 推荐(0) 编辑
摘要:1.摄像头是过滤设备控制码2.远控的话,就只能通信协议特征了3.端口扫描/黑客端口扫描,这个花的时间比较多了,一般检测办法核心是tcp 的syn包连接的频率,另一个是敏感端口,如80 21 135 139 445 3389等等.另外我还加强了下,迷惑扫描者,伪造端口开放信息,可以看最后一张nmap的扫描截图。这块研究任务完成。 阅读全文
posted @ 2013-05-03 15:24 kkindof 阅读(214) 评论(0) 推荐(0) 编辑
摘要:前置知识:http://www.codemachine.com/article_tdi.html创建socket的过程从ring3到AFD,基本是老样子。在到达AfdCreate后,会有不同的分支根据RING3传下来的EA,里面不同的变量判断,就跳转不同的分支。1。默认分支默认里面会调用AfdCheckTDIFilter()该函数检测 tcp/udp/rawip/tcp6/udp6/rawip6这6个设备是否有attached的设备如果有则返回1,返回0的话,AfdCreate函数就接着调用AfdAllocateEndpoint创建ENDPOINT2。第二个分支上面AfdCheckTDIFil 阅读全文
posted @ 2012-08-12 18:19 kkindof 阅读(1756) 评论(1) 推荐(0) 编辑
摘要:这2天测试了一个使用了WMI提供ASEC后门,里面使用了JS脚本往外请求http获取执行命令。但我的分析系统却没抓到这个行为,可在真机中确实抓到有HTTP请求。相当奇怪。最后无奈windbg出手,内核断点afd 发送函数。最后发现是scrcons.exe进程,自然就google后,最后晓得是脚本宿主神马的。最后了解了下这块,多谢EVA大侠的《深入挖掘Windows脚本技术》系统文章。加深了理解。背景小故事说完了。个人对VBS脚本不懂。但常见的创建脚本网上好像都是这样:set fso=wscript.createobject("Scripting.FileSystemObject&qu 阅读全文
posted @ 2012-08-10 16:16 kkindof 阅读(2882) 评论(0) 推荐(1) 编辑
摘要:环境:XP内容:粗糙Const HIDDEN_WINDOW = 0strComputer = "."Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")Set objStartup = objWMIService.Get("Win32_ProcessStartup")Set objConfig = 阅读全文
posted @ 2012-08-09 21:08 kkindof 阅读(657) 评论(0) 推荐(0) 编辑