上一页 1 ··· 49 50 51 52 53 54 55 56 57 ··· 65 下一页
2017年1月7日
获取系统中所有进程&线程信息
摘要: 读书笔记--[计算机病毒解密与对抗] 目录: 遍历进程&线程程序 终止进程 获取进程信息 获取进程内模块信息 获取进程命令行参数 代码运行环境:Win7 x64 VS2012 Update3 遍历系统中所有进程 [cpp] view plain copy print? #include <stdio 阅读全文
posted @ 2017-01-07 14:37 狂客 阅读(11574) 评论(0) 推荐(2)
windows 物理内存获取
摘要: 由于我一般使用的虚拟内存, 有时我们需要获取到物理内存中的数据(也就是内存条中的真实数据), 按理说是很简单,打开物理内存,读取就可以了.但似乎没这么简单: [cpp] view plain copy print? #include "windows.h" //定义相应的变量类型,见ntddk.h 阅读全文
posted @ 2017-01-07 14:35 狂客 阅读(3316) 评论(0) 推荐(0)
windbg-.process切换进程(内核)
摘要: .process .process 命令指定要用作进程上下文的进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy print? kd> .process Implicit pr 阅读全文
posted @ 2017-01-07 14:32 狂客 阅读(813) 评论(0) 推荐(0)
VadRoot枚举进程模块在Windows7下的完整实现
摘要: 原理小伟的小伟在http://bbs.pediy.com/showthread.php?t=66886说的挺清楚了,Windows7下有一些变化,使用NtQueryVirtualMemory来枚举模块是一个效率很低的事情,自己枚举VadRoot速度是很快的,有N个子节点时,为log(N),还有我在这 阅读全文
posted @ 2017-01-07 13:49 狂客 阅读(2105) 评论(0) 推荐(0)
ring3硬件断点
摘要: 4个断点寄存器DR0~DR3用来设置断点的线性地址。 DR6为状态寄存器,DR7为控制寄存器。 DR4和DR5保留。当CR4.DE==1时,访问DR4和DR5产生#UD异常;IF CR4.DE==0,访问DR4和DR5将是对DR6和DR7的访问。 下面这张表非常清楚: |-------------- 阅读全文
posted @ 2017-01-07 13:46 狂客 阅读(658) 评论(0) 推荐(0)
Ring3下的DLL注入(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
摘要: 工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLo 阅读全文
posted @ 2017-01-07 13:42 狂客 阅读(4274) 评论(0) 推荐(0)
2016年12月10日
NewBluePill源码学习
摘要: NewBluePill的源码也看的差不多了,一直说等有时间了再写学习的一些心得,拖来拖去弄到现在了,时间不是等来的,慢慢开始吧。 0x00 初识硬件虚拟化 硬件虚拟化对大数人来讲还是比较陌生。什么是硬件虚拟化?因为早期的虚拟机都是进程级虚拟机,也就是作为已有操作系统的一个进程,完全通过软件的手段来模 阅读全文
posted @ 2016-12-10 12:30 狂客 阅读(2237) 评论(0) 推荐(0)
Intel VT入门
摘要: 参考 http://blog.csdn.net/zhoujiaxq/article/details/24366561 前言 传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番 由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激! 关于VT可以先参考海 阅读全文
posted @ 2016-12-10 12:29 狂客 阅读(2646) 评论(1) 推荐(0)
系统回调介绍
摘要: 使用 设置 PspNotifyEnableMask 为 0 CreateProcess CreateThread LoadImage 回调函数都不会起作用 目的: 遍历系统中的回调 类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以 阅读全文
posted @ 2016-12-10 12:27 狂客 阅读(2849) 评论(0) 推荐(0)
反调试技术常用API,用来对付检测od和自动退出程序
摘要: 在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法 Win32提供了两个API, IsDe 阅读全文
posted @ 2016-12-10 12:26 狂客 阅读(10301) 评论(0) 推荐(0)
上一页 1 ··· 49 50 51 52 53 54 55 56 57 ··· 65 下一页