随笔档案「2012年3月」 - retme

mark一下逆向c++写的dll的套路

摘要：c++写的几M的dll看着很dt，如果还是com写的。。如果还有一大堆加解密的东西= = 静态主要的类 this一定要用IDA建一个结构，this第一项是虚函数表指针，也要建立一个结构，结构上最好标上虚函数表的相对偏移，比如命名为struct ClassXX_vtable_0xAABB 动态一开始的时候下断点，有明显的字符串当然好。没有的话便... 阅读全文

posted @ 2012-03-27 18:39 retme 阅读(377) 评论(0) 推荐(0)

Win32k(5) 相关逆向~参考文献~

摘要：这是很久前读ROS的一点笔记，最近没空搞这个，发上来备份~百度越来越渣了，总说我 “文章内容包含不合适内容” 不让贴！———— PDF版本 115提取码 dpfi6iya第七部分一些相关应用一、枚举消息钩子二、遍历gditable/usertable查询隐藏进程三、窗口保护四、Hook KeUsermodeCallback防止全局钩子注入可以过滤很多东西，比如防止注入。这里逆向了一... 阅读全文

posted @ 2012-03-26 14:22 retme 阅读(379) 评论(0) 推荐(0)

Win32k(4) 视窗钩子

摘要：第五部分视窗钩子一、ROS下的流程 Win2000版本有人分析过了http://bbs.pediy.com/showthread.php?t=135702 消息钩子是一种官方支持钩子回调，可以拦截某一个窗口或者全局的消息。消息本应直接发到对应窗口的wndproc，现在要先发送到我们设定的消息回调，由我们的hook函数进行参数的收取、截获、过滤~ HHOOKSetWindowsHook... 阅读全文

posted @ 2012-03-26 14:14 retme 阅读(487) 评论(0) 推荐(0)

Win32k(3) R0 to R3,键盘鼠标输入

摘要：第三部分 R0 to R3 这部分有教主非常精彩和实用的分析，我就不瞎说了。http://bbs.pediy.com/showthread.php?t=104918 r3 to r0 是常规系统调用倒过来中断或者sysenter的东西：http://hi.baidu.com/andriy_aolala/blog/item/0ce3ebbf137db11a18d81fac.html NT... 阅读全文

posted @ 2012-03-26 14:13 retme 阅读(1202) 评论(0) 推荐(0)

Win32k(2) 报文驱动的通信机制

摘要：一．应用层的apiint APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine,intnCmdShow){ WNDCLASSEXwcex; wcex.lpfnWndProc = ... 阅读全文

posted @ 2012-03-26 14:06 retme 阅读(845) 评论(0) 推荐(0)

Win32k(1) 图形线程的初始化

摘要：很久以前看ROS的笔记，跟windows不一样的地方不少，最近没时间看这块了= = 先贴上来备份第一部分图形线程的初始化综述一下—— 图形通信对象(user object)以线程为单位。这个线程是图形线程，调用表就是ssdt shadow，包含了图形系统调用，三环由user32提供，0环由win32k支持。线程包含窗口，桌面，普通窗口，各种控件，都是窗口。窗口有一个wndproc，... 阅读全文

posted @ 2012-03-26 14:02 retme 阅读(610) 评论(0) 推荐(0)

inline Hook IdePortStartIo+80 的奇怪驱动

摘要：原理类似机器狗，代码写的挺新鲜loadder.exe行为 NtSetSysteminformation加载驱动 c:\\cloud76.dll 驱动cloud76.dll 行为摘掉IopFsNotifyChangeQueueHead队列 hook dmload.sys的IrpCreate... 阅读全文

posted @ 2012-03-23 18:03 retme 阅读(330) 评论(0) 推荐(0)

枚举劳务线程

摘要：ExWorkerQueue是全局数组一共三类typedef enum _WORK_QUEUE_TYPE {CriticalWorkQueue,DelayedWorkQueue,HyperCriticalWorkQueue,MaximumWorkQueue} WORK_QUEUE_TYPE;kd> dt _KQUEUE 80565820 nt!_KQUEUE+0x000 Header ... 阅读全文

posted @ 2012-03-14 19:52 retme 阅读(711) 评论(0) 推荐(0)

说说白利用

摘要：白利用什么的，最近大家都在杀嘛~~现在过hips或者scan越来越难了~ 先说说没品木马们的常见手段（以下示例国内靠谱安全软件早已防范）： 1. 一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的例：RenamePendingFile这个启动点大家都知道，但其实还可以有RenamePendi... 阅读全文

posted @ 2012-03-11 13:12 retme 阅读(290) 评论(0) 推荐(0)

玩了下windbg插件

摘要：最近在做一些自动化分析dump的东西，用windbg插件实现~下面是一个取得object的例子~mark一下~放到WinDDK\7600.16385.1\Debuggers\sdk\samples\exts 编译~~ 高亮代码ULONG64 __stdcall FindObjectByName(char* szObjectName,ULONG64 ulRoot){/* 哈希表 ... 阅读全文

posted @ 2012-03-09 13:21 retme 阅读(654) 评论(0) 推荐(0)