07 2013 档案
摘要:点击打开链接http://www.ghoffice.com/bbs/read-htm-tid-103923.html
阅读全文
摘要:点击打开链接http://www.ghoffice.com/bbs/read-htm-tid-103923.html
阅读全文
摘要:引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在...
阅读全文
摘要:引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在...
阅读全文
摘要:原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并创建一个系统事件对象...
阅读全文
摘要:原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并创建一个系统事件对象...
阅读全文
摘要:#include#include#include#pragmacomment(lib,"Dbghelp.lib")#pragmacomment(lib,"User32.lib")typedefint(__stdcall*OLD_MessageBox)(HWNDhWnd,LPCTSTRlpText,L...
阅读全文
摘要:#include#include#include#pragmacomment(lib,"Dbghelp.lib")#pragmacomment(lib,"User32.lib")typedefint(__stdcall*OLD_MessageBox)(HWNDhWnd,LPCTSTRlpText,L...
阅读全文
摘要:在使用RemoteDll注入动态库的时候发现注入有的动态库会提示下面的错误,LoadLibrary on remote process [1968 - Explorer.exe] failed. Try running RemoteDll as Administrator....原因是动态库编译选项...
阅读全文
摘要:代码如下:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{98745625-1234-1234-1234-1234567890AB}]@="Internet Explorer"[HKEY_...
阅读全文
摘要:代码如下:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{98745625-1234-1234-1234-1234567890AB}]@="Internet Explorer"[HKEY_...
阅读全文
摘要:设置文件属性:SetFileAttributes(文件名,属性值)读取文件属性:GetFileAttributes(文件名);读取文件属性SetFileAttributes(文件名,FILE_ATTRIBUTE_READONLY);//设定为只读SetFileAttributes(文件名,FILE_...
阅读全文
摘要:设置文件属性:SetFileAttributes(文件名,属性值)读取文件属性:GetFileAttributes(文件名);读取文件属性SetFileAttributes(文件名,FILE_ATTRIBUTE_READONLY);//设定为只读SetFileAttributes(文件名,FILE_...
阅读全文
摘要:在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。KdPrintis identical to t...
阅读全文
摘要:在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。KdPrintis identical to t...
阅读全文
摘要:NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRe...
阅读全文
摘要:NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRe...
阅读全文
摘要:一、个人防火墙技术概述随着网络安全问题日益严重,广大用户对网络安全产品也越来越关注。防火墙作为一种网络安全工具,早已受到大家的青睐。在PC机上使用的个人防火墙,很大程度上成为广大网民的安全保护者。Windows下的个人防火墙都是基于对数据报的拦截技术之上。当然在具体的实现方式上它们却有很大的不同。总...
阅读全文
摘要:一、个人防火墙技术概述随着网络安全问题日益严重,广大用户对网络安全产品也越来越关注。防火墙作为一种网络安全工具,早已受到大家的青睐。在PC机上使用的个人防火墙,很大程度上成为广大网民的安全保护者。Windows下的个人防火墙都是基于对数据报的拦截技术之上。当然在具体的实现方式上它们却有很大的不同。总...
阅读全文
摘要:注册表中路径的写法实际上,因为用户模式下的应用程序总是由某个 “ 当前用户 ” 打开的,因此在用户模 式下可以直接访问 HKEY_CLASSES_ROOT 和 HKEY_CURRENT_USER ,但工作在内核模式下的驱动程序不属于任何一个用户,因此不能直接访问这两个根键。如果对象类型为注册表键,则...
阅读全文
摘要:注册表中路径的写法实际上,因为用户模式下的应用程序总是由某个 “ 当前用户 ” 打开的,因此在用户模 式下可以直接访问 HKEY_CLASSES_ROOT 和 HKEY_CURRENT_USER ,但工作在内核模式下的驱动程序不属于任何一个用户,因此不能直接访问这两个根键。如果对象类型为注册表键,则...
阅读全文
浙公网安备 33010602011771号