kindof-王胜______________

摘要： 前段时间家里人玩上了一个雷达的东西，需要分很多账号来生币，但这玩意注册多账号除了手机号还不行，还得每个账号一个邮箱， 他们这场景就是批量邮箱注册账号，但只需要用来收验证码就行了，不需要用来发邮件。听说他们好多人找人买了，还是搞什么新浪的，用这些邮箱，太久不登录还得给冻结可能，想想就很头疼，家里人就是 阅读全文

摘要： 作者：Enrico Martignetti译者：zhouws/kkindof qq5771067原文:http://www.opening-windows.com/download/apcinternals/2009-05/windows_vista_apc_internals.pdfAPC基础概念... 阅读全文

摘要： 最近写的一个内存注入：注入目标模块到目标进程中，并使用内存peloader的方式运行注入的模块。在模块运行时，在目标进程空间内只能看到image类型的内存，几乎隐身无痕下载地址 阅读全文

摘要： 本篇blog的内核可能会杂乱无章，未成年禁止观看:)一。首先对于内核插32bit user apc的情况，内核有一个导出但undoucmented的函数来处理的，如下：nt!PsWrapApcWow64Thread:fffff800`0291b020 65488b042588010000 mov rax,qword ptr gs:[188h]fffff800`0291b029 488b4870 mov rcx,qword ptr [rax+70h]fffff800`0291b02d 4883b92003000000 cmp qword ptr [rcx+320... 阅读全文

摘要： 一．事由二．问题三．追踪溯源四．解决问题五．完**********************************************************************************************一． 事由最近有个需求是需要在32bit进程的某个线程A在调用createthread创建线程B的时候，如果线程B的起始地址符合指定的值则需要把该进程dump出来，由于指定的系统环境是windows 64位，不能HOOK，所以采用了PsSetCreateThreadNotifyRoutine的方式，在CreateThreadNotify得到调用时，判断创建的线程起 阅读全文

该文被密码保护。 阅读全文

该文被密码保护。 阅读全文

摘要： 1.摄像头是过滤设备控制码2.远控的话，就只能通信协议特征了3.端口扫描/黑客端口扫描，这个花的时间比较多了，一般检测办法核心是tcp 的syn包连接的频率，另一个是敏感端口，如80 21 135 139 445 3389等等.另外我还加强了下，迷惑扫描者，伪造端口开放信息，可以看最后一张nmap的扫描截图。这块研究任务完成。 阅读全文

摘要： 前置知识：http://www.codemachine.com/article_tdi.html创建socket的过程从ring3到AFD，基本是老样子。在到达AfdCreate后，会有不同的分支根据RING3传下来的EA,里面不同的变量判断，就跳转不同的分支。1。默认分支默认里面会调用AfdCheckTDIFilter()该函数检测 tcp/udp/rawip/tcp6/udp6/rawip6这6个设备是否有attached的设备如果有则返回1，返回0的话，AfdCreate函数就接着调用AfdAllocateEndpoint创建ENDPOINT2。第二个分支上面AfdCheckTDIFil 阅读全文

摘要： 这2天测试了一个使用了WMI提供ASEC后门，里面使用了JS脚本往外请求http获取执行命令。但我的分析系统却没抓到这个行为，可在真机中确实抓到有HTTP请求。相当奇怪。最后无奈windbg出手，内核断点afd 发送函数。最后发现是scrcons.exe进程，自然就google后，最后晓得是脚本宿主神马的。最后了解了下这块，多谢EVA大侠的《深入挖掘Windows脚本技术》系统文章。加深了理解。背景小故事说完了。个人对VBS脚本不懂。但常见的创建脚本网上好像都是这样：set fso=wscript.createobject("Scripting.FileSystemObject&qu 阅读全文