Revercc's Blog

摘要： 隐藏系统线程 线程内核对象KTHREAD的ThreadListEntry链接了属于同一个进程的所有线程内核对象。应用层通过ZwQueryInformationThread和进程快照枚举线程就是枚举的这个链表，将此链表进行断链后就可以隐藏线程。 上述隐藏手段只是一种欺骗手段，无法做到真正的隐藏。对抗方 阅读全文

摘要： 句柄降权 通过设置进程内核对象EPROCESS的Object钩子进行句柄降权，没什么好说的。 设置系统关键进程 调用RtlSetProcessIsCritical/NtSetInformationProcess设置EPROCESS. BreakOnTermination。调用TerminatePro 阅读全文

摘要： 虚拟机架构分类 I型原生架构 原生架构也叫裸金属架构或者裸机架构，其通过直接在cpu处理器硬件上运行虚拟机监控程序，进一步使用处理器扩展（Intel VT-x和AMD-V）来运行虚拟机。这时候计算机所有运行的操作系统（包括根操作系统）都相当于是虚拟机。Hyper-V，VMware ESX，Xen，K 阅读全文

摘要： 前言 windows内核中的对象会受到保护，每个对象都有自己的安全描述符（Security Descriptor），安全描述符用来描述此对象可以允许谁，以何种方式访问。而访问这些对象的主体就是进程和线程，每一个进程都有自己的令牌Token，此令牌就是此进程或线程的安全上下文表示此进程或线程属于哪个用 阅读全文

摘要： 前言 windows vista版本引入了“受保护进程”的概念（PP），目的是为了保护媒体内容并符合DRM（数字版权管理）要求。Mircrosoft开发了此机制使受信任的媒体播放器可以访问高品质例如蓝光的文件，而防止其他程序访问和复制这些内容。在Windows 8.1（NT 6.3）中又对受保护的进 阅读全文

摘要： Windows内核对象 Windows内核中万物皆对象，并通过对象管理器（内核组件）管理这些对象。例如进程内核对象，线程内核对象，文件内核对象，设备内核对象，互斥量内核对象等，每一个对象都有其所属的对象类型_OBJECT_TYPE。 内核对象的内存布局 内核对象的内存布局包含了POOL_HEADER 阅读全文

摘要： 句柄是什么 windows内核中万物皆对象，每个对象都有其对应的内核对象。因为应用层是不能直接读写内核空间的，windows系统通过为进程分配与内核对象对应的句柄并赋予一定的权限，使应用层通过这些句柄间接访问对应的内核对象并对权限进行严格的控制。 句柄表 windows为进程分配的句柄都存放在句柄表 阅读全文

摘要： 抓包环境 android平台通过charles/fiddler + postern进行http/https抓包。以charles为例，需要先将charles的根证书保存。 利用openssl查看charles根证书的md5散列值，然后将文件重命名为: md5散列值.0 接着需要通过挂载修改andro 阅读全文

摘要： http/https网络协议分析 http与https的区别 http http是一种应用层协议位于传输层协议tcp之上，其不会对数据进行任何的加密，只是按照一定的格式对数据进行封装（http报文格式），在数据封装完之后直接使用tcp的socket进行数据的发送。传输层tcp是一种长连接，http基 阅读全文

摘要： http://slproweb.com/products/Win32OpenSSL.html 首先需要下载openssl，可以直接下载编译好的文件（或者自己编译）。 安装完整后在将安装目录的路径\OpenSSL-Win64\bin加入到系统环境变量中。然后需要在生成证书的目标路径中创建一个demoC 阅读全文