摘要： 1.Wireshark 抓包分析 使用Wireshark抓取微信电脑端登录的过程 首先，打到wireshark,选择网卡后，开始捕获数据包 第一步：获取微信进程的PID 第二步：使用netstat -ano |findstr 19120,获取微信进程的网络连接地址 第三步：使用ip.dst==183 阅读全文

摘要： PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。这个双向链表的结构如下:kd> dt _LIST_ENTRYnt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY //指向后一个链表 +0x004 Blink : Ptr32 _LIST_ENTRY //指向前一个链表每一个驱动对象都存在这样一个结构.我们先看_DRIVER_OBJECT的结构kd> dt _DRIVER_OBJECTnt!_DRI... 阅读全文

摘要： 在R0下利用ZwQuerySystemInformation 查 SystemModuleInformation 来枚举驱动模块代码如下:////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// rootkit.h////////////////////////////////////////////////////////////////////////////////////////////////... 阅读全文