摘要:
分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。我分析的版本如下:主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D4AB8简单说明:360把所有被 阅读全文
posted @ 2017-10-31 23:19
鑫鑫1
阅读(1567)
评论(1)
推荐(1)
摘要:
某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改 阅读全文
posted @ 2017-10-31 23:16
鑫鑫1
阅读(6137)
评论(1)
推荐(3)
摘要:
强制解锁因其他进程占用而无法删除的文件。 1.调用 ZwQuerySystemInformation 的 16 功能号来枚举系统里的句柄 2.打开拥有此句柄的进程并把此句柄复制到自己的进程 3.用 ZwQueryObject 查询句柄的类型和名称 4.如果 发现此句柄的类型是文件句柄, 名称和被锁定 阅读全文
posted @ 2017-10-31 23:12
鑫鑫1
阅读(2459)
评论(0)
推荐(0)
摘要:
在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作) 阅读全文
posted @ 2017-10-31 23:10
鑫鑫1
阅读(2490)
评论(0)
推荐(0)
摘要:
在 Ring3 下获取到当前 Windows 操作系统下的所有的进程无外乎以下的几种方法: 第一种:使用 ToolHelp 遍历获取到所有进程,关于这种方式的话,笔者以前写过一篇博文的, 《列举 Windows 所有进程(ToolHelp)》博文地址如下: http://www.cnblogs.co 阅读全文
posted @ 2017-10-31 00:34
鑫鑫1
阅读(1202)
评论(0)
推荐(0)
摘要:
最近对驱动比较感兴趣,所以打算做个windows下面的驱动,正好自己电脑的鼠标左键的单击有的时候会变双击,所有打算弄个鼠标的过滤驱动来解决这个问题。 网上找了一下,原来早就有人做了这个功能 http://download.csdn.net/detail/guijc1/5263421(不是故意给这个打 阅读全文
posted @ 2017-10-31 00:05
鑫鑫1
阅读(715)
评论(0)
推荐(0)
浙公网安备 33010602011771号