上一页 1 ··· 52 53 54 55 56 57 58 59 60 ··· 65 下一页
2016年8月29日
一个简单的Object Hook的例子(win7 32bit)
摘要: Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改。 _OBJECT_HEADER: kd> dt _OBJECT_HEADERnt!_OBJECT_HEADER +0×000 PointerCount : Int4B +0×0 阅读全文
posted @ 2016-08-29 17:20 狂客 阅读(2887) 评论(0) 推荐(0)
正则基础之 环视
摘要: 1 环视基础 环视只进行子表达式的匹配,不占有字符,匹配到的内容不保存到最终的匹配结果,是零宽度的。环视匹配的最终结果就是一个位置。 环视的作用相当于对所在位置加了一个附加条件,只有满足这个条件,环视子表达式才能匹配成功。 环视按照方向划分有顺序和逆序两种,按照是否匹配有肯定和否定两种,组合起来就有 阅读全文
posted @ 2016-08-29 15:24 狂客 阅读(421) 评论(0) 推荐(0)
2016年8月22日
为什么要使用 Node.js
摘要: 这是一个移动端工程师涉足前端和后端开发的学习笔记,如有错误或理解不到位的地方,万望指正。 Node.js 是什么 传统意义上的 JavaScript 运行在浏览器上,这是因为浏览器内核实际上分为两个部分:渲染引擎和 JavaScript 引擎。前者负责渲染 HTML + CSS,后者则负责运行 Ja 阅读全文
posted @ 2016-08-22 09:44 狂客 阅读(1441) 评论(2) 推荐(0)
九个Console命令,让js调试更简单
摘要: 九个Console命令,让js调试更简单 10 小时前 • Web前端 • <!--<span class="fa fa-eye"></span>38 views •--> 暂无评论 九个Console命令,让js调试更简单 10 小时前 • Web前端 • <!--<span class="fa 阅读全文
posted @ 2016-08-22 09:42 狂客 阅读(9045) 评论(0) 推荐(0)
2016年8月11日
遍历进程活动链表(ActiveProcessLinks)、DKOM隐藏进程
摘要: 1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB(进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间 阅读全文
posted @ 2016-08-11 16:45 狂客 阅读(3346) 评论(0) 推荐(0)
遍历PspCidTable表检测隐藏进程
摘要: 一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCES 阅读全文
posted @ 2016-08-11 16:43 狂客 阅读(4143) 评论(0) 推荐(0)
Shadow SSDT详解、WinDbg查看Shadow SSDT
摘要: 一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptor 阅读全文
posted @ 2016-08-11 16:39 狂客 阅读(4582) 评论(0) 推荐(0)
两种方法获取shadow ssdt
摘要: [cpp] view plain copy print? ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescript 阅读全文
posted @ 2016-08-11 16:34 狂客 阅读(1957) 评论(0) 推荐(0)
r0遍历系统进程方法总结
摘要: 方法1: ZwQuerySystemInformation 这个方法网上一搜一大堆,不举例了 方法2:暴力枚举PID枚举进程,代码: [cpp] view plain copy print? NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICO 阅读全文
posted @ 2016-08-11 16:25 狂客 阅读(587) 评论(0) 推荐(0)
枚举PEB获取进程模块列表
摘要: 枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先,惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出,各位看官根据情况自行添加。 [cpp] view plain copy pri 阅读全文
posted @ 2016-08-11 16:18 狂客 阅读(3178) 评论(0) 推荐(0)
上一页 1 ··· 52 53 54 55 56 57 58 59 60 ··· 65 下一页