划分树
摘要:1 #include 2 #include 3 #include 4 #include 5 6 using namespace std; 7 const int MAXN = 100010; 8 int tree[30][MAXN]; //each row has numbers 9...
阅读全文
posted @ 2015-11-18 11:57
11 2015 档案
Resume InlineHookSSDT
摘要:在InlineHook中修改了zwOpenProcess函数的中的指令与Resume HookSSDT同理 找出一个正确的值覆盖上去就行、突发奇想 有没有可能上去一个驱动或者程序 直接卸载掉InlineHook 岂不是很爽直接映射WCHAR wzFileFullPath[] = L"\\Syste...
阅读全文
posted @ 2015-11-16 15:21
InLineHookSSDT
摘要://当Ring3调用OpenProcess//1从自己的模块(.exe)的导入表中取值//2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层)//3进入Ring0 从Ntoskernel.exe模块的导出表中执行ZwOpenProcess(取索引 获得SSDT...
阅读全文
posted @ 2015-11-16 14:13
RemoveDPC
摘要:HOOKSSDT中加入了DPC之后 要取消DPC首先找到DPCHookSSDT.sys的基地址和大小通过枚举所有DPC的地址 将在范围之内的DPC定时器全部移除枚举DPC:WinXP:1.首先要得到KiTimerTableListHead在WinXP中只需要通过查找8d就可以定位到KiTimerTa...
阅读全文
posted @ 2015-11-16 13:45
Resume Hook SSDT
摘要:在HookSSDT中 通过在第4部通过索引将NtOpenProcess 换成 Base[索引] = FakeNtOpenProcess;so 在阻止时应该在ntoskrnl.exe找到真正的OpenProcess的地址 然后替换上去
阅读全文
posted @ 2015-11-16 13:04
HookIAT的启动程序
摘要:1 // 启动程序.cpp : 定义控制台应用程序的入口点。 2 // 3 4 #include "stdafx.h" 5 #include 6 #include 7 #include 8 #include 9 10 #pragma comment(lib,"psap...
阅读全文
posted @ 2015-11-11 11:34
IoTimerInLineHook
摘要:1 #ifndef CXX_IOTIMERINLINEHOOK_H 2 # include "IoTimerInlineHook.h" 3 #endif 4 5 6 ULONG32 SSDT_NtOpenProcessIndex = 0; 7 p...
阅读全文
posted @ 2015-11-10 15:20
错位排序
摘要:错排计数。错位排列的公式有dn=n!(1-1/1!+1/2!-1/3!+...+(-1)^n*1/n!)还有一个递推的形式 d[n]=(n-1)*(d[n-1]+d[n-2]) 。其中 d[0]=1 d[1]=0 d[2]=1;c(n,i)* d[i] 即每种错排情况的个数,累加起来即可。
阅读全文
posted @ 2015-11-09 23:12
枚举IoTimer
摘要:1 /*************************************************************************************** 2 * AUTHOR : yifi 3 * DATE : 2015-11-5 4 * MODULE : ...
阅读全文
posted @ 2015-11-05 16:49
时钟 IoTimer
摘要:1 /* 2 例程是在运行在DISPATCH_LEVEL的IRQL级别 3 例程中不能使用分页内存 4 另外在函数首部使用 #pragma LOCKEDCODE 5 */ 6 7 #include "Driver.h" 8 9 #define Dev...
阅读全文
posted @ 2015-11-04 11:37
浙公网安备 33010602011771号