摘要:
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 阅读全文
posted @ 2016-12-10 12:25
狂客
阅读(1265)
评论(0)
推荐(0)
摘要:
x86平台转x64平台关于内联汇编不再支持的解决 2011/08/25 把自己碰到的问题以及解决方法给记录下来,留着备用! 工具:VS2005 编译器:cl.exe(X86 C/C++) ml64.exe(X64 ASM64) 前提:X86下内联汇编是嵌在函数当中实现的 在X86平台下,可以轻松的在 阅读全文
posted @ 2016-12-10 12:23
狂客
阅读(3508)
评论(0)
推荐(0)
摘要:
VS2012在win32平台编译的时候可以很好的支持汇编语言的嵌入。建立一个控制台应用程序,选择空项目。项目建立好之后添加一个.cpp文件。在cpp文件中写入如下代码: [cpp] view plain copy print? #include <iostream> using namespace 阅读全文
posted @ 2016-12-10 12:22
狂客
阅读(4554)
评论(0)
推荐(0)
摘要:
标 题: 【原创】消息钩子注册浅析 作 者: RootSuLe 时 间: 2011-06-18,23:10:34 链 接: http://bbs.pediy.com/showthread.php?t=135702 <!-- google_ad_section_start --> windows消息钩 阅读全文
posted @ 2016-12-10 12:20
狂客
阅读(827)
评论(0)
推荐(0)
摘要:
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下: [cpp] view 阅读全文
posted @ 2016-12-10 12:19
狂客
阅读(3283)
评论(0)
推荐(0)
摘要:
BOOL CreateDirectory( LPCTSTR lpPathName, LPSECURITY_ATTRIBUTES lpSecurityAttributes ); 这个是大多数用户都知道的,但是这个有缺点,只能是一层一层的创建。。。很是麻烦!!! 下面给大家介绍一个函数: BOOL Ma 阅读全文
posted @ 2016-12-10 12:18
狂客
阅读(2863)
评论(0)
推荐(0)
摘要:
本帖最后由 奋斗丶小Z 于 2016-6-6 13:39 编辑 此函数可以启用或关闭开启之后变得和系统进程一样被杀系统直接蓝屏系统进程也是此函数实现的上图 可以用于进程保护 <ignore_js_op> %3MWID[XWF21C%4XP(FDCZI.jpg (98.99 KB, 下载次数: 0) 阅读全文
posted @ 2016-12-10 12:16
狂客
阅读(513)
评论(0)
推荐(0)
摘要:
ObCallback回调钩子检测 2013-12-20 Nie.Meining Ring0 在 PatchGuard 的摧残下,通过 ObRegisterCallbacks 函数注册回调钩子已经成了 RK/ARK 中的主流技术之一。注册回调钩子的具体做法可以参考MSDN上的示例代码:http://c 阅读全文
posted @ 2016-12-10 12:14
狂客
阅读(2296)
评论(0)
推荐(0)
摘要:
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的 阅读全文
posted @ 2016-12-10 12:10
狂客
阅读(7105)
评论(0)
推荐(0)
浙公网安备 33010602011771号