ZUDN

博客园 首页 新随笔 联系 订阅 管理
  24 Posts :: 0 Stories :: 7 Comments :: 0 Trackbacks

2011年9月15日 #

正文内容加载中...
posted @ 2011-09-15 14:36 ZUDN 阅读 (4172) 评论 (0) 编辑

2011年9月13日 #

摘要:标 题: 【讨论】如何分析堆栈出错的 dmp 文件作 者: 小喂时 间: 2007-09-05,15:41:07链 接: http://bbs.pediy.com/showthread.php?t=51141如何分析堆栈出错的dmp文件分析程序出错生成的dmp文件是事后分析的主要工作。第一步往往都是使用WinDbg自带的!analyze-v命令先进行初步分析,得到出错地址和出错堆栈后再进行详细分析。本文介绍一个方法,当!analyze-v不好使的时候应该怎么得到出错地址和出错堆栈。intsum(intx,inty){__asmmovebp,0return(x+y);}intsumstub(in 阅读全文
posted @ 2011-09-13 10:00 ZUDN 阅读 (1842) 评论 (0) 编辑

摘要:含义 ENCTYPE="multipart/form-data" 说明:通过 http 协议上传文件 rfc1867协议概述,jsp 应用举例,客户端发送内容构造1、概述在最初的 http 协议中,没有上传文件方面的功能。 rfc1867 (http://www.ietf.org/rfc/rfc1867.txt) 为 http 协议添加了这个功能。客户端的浏览器,如 Microsoft IE, Mozila, Opera 等,按照此规范将用户指定的文件发送到服务器。服务器端的网页程序,如 php, asp, jsp 等,可以按照此规范,解析出用户发送来的文件。Microso 阅读全文
posted @ 2011-09-13 09:54 ZUDN 阅读 (12370) 评论 (1) 编辑

2011年8月29日 #

摘要:#include <fstream.h>#include <iostream.h>#include <iomanip.h>#include <windows.h>#include <stdio.h>#include <stdlib.h>#include <ctype.h>#include <string.h>#include <malloc.h>#include <conio.h>#include <math.h>#include <WINDEF.H> 阅读全文
posted @ 2011-08-29 15:50 ZUDN 阅读 (2924) 评论 (1) 编辑

2011年6月24日 #

摘要:#include <cv.h>#include <highgui.h>#include <ml.h>#include <iostream>#include <fstream>#include <string>#include <vector>using namespace std;#define WIDTH 28#define HEIGHT 30int main( /*int argc, char** argv*/ ){vector<string> img_path;vector<int> 阅读全文
posted @ 2011-06-24 12:43 ZUDN 阅读 (1848) 评论 (1) 编辑

2011年1月14日 #

摘要:之前曾讲过通过PhysicalMemory进入RING0的一些绕过攻击方式:(http://hi.baidu.com/mj0011/blog/item/1c92ed03bea96d80d53f7c00.html)其中提到的为\Device\PhysicalMemory创建符号链接的方式来绕过对ZwOpenSection打开这个Section的拦截,这个实际很多安全软件都已经防御了,例如Comodo , 卡巴,等等,但是他们仅仅是拦截对\Device\PhysicalMemory的Symbolic Link创建,这样足够吗?答案当然是否定的。我们仔细看\Device\PhyscialMemory 阅读全文
posted @ 2011-01-14 09:59 ZUDN 阅读 (251) 评论 (0) 编辑

摘要:众所周知,WINDOWS 2000/XP/2003 SP0系统上,提供了一个\Device\PhysicalMemory的Section对象,可以直接操作物理内存对象。直接操作此对象映射的物理内存,可以操作RING0内存,达到无驱进入RING0的目的。这已是很多年前就被用烂了的技术了,大部分驱动防火墙、绝大部分HIPS软件、AntiVirus软件等都对此进行了防御。不过,老树也能开新花,我们来看看这个东东的新利用方法:1).CreateSymbolicLink,这也是很古老的方法,很多安全软件也已经防御。因为一些安全软件只防御了NtOpenSection,并根据打开的对象名是否是\Device 阅读全文
posted @ 2011-01-14 09:58 ZUDN 阅读 (306) 评论 (0) 编辑

2010年12月31日 #

摘要:1. 切换目标进程的CR3通常,跨进程读写内存,用到ReadProcessMemory, WriteProcessMemory, 但需要进程句柄,如果目标进程受到保护,可能获得进程句柄会失败.ReadProcessMemory最后会调用到KeStackAttachProcess附加到目标进程上切换进程环境进行拷贝的, 所以想到拿到目标进程的虚拟内存内容,可以将目标进程的页目录基地址放入CR3中即可.首先要获得目标进程的cr3寄存器,即页目录基地址(开启PAE, 页目录指针表), 每个进程在内核里都有一个EPROCESS结构.nt!_EPROCESS+0x000 Pcb : _KPROCESS+ 阅读全文
posted @ 2010-12-31 10:38 ZUDN 阅读 (4775) 评论 (0) 编辑

摘要:/*************************************************************************************** *AUTHOR: *DATE:2009-6-15 *MODULE:ReadMemory.C * *Command: *SourceofIOCTRLSampleDriver * *Description: *DemonstratescommunicationsbetweenUSERandKERNEL. * ********************************************************** 阅读全文
posted @ 2010-12-31 09:12 ZUDN 阅读 (534) 评论 (2) 编辑

2010年12月30日 #

摘要:#include "struct.h"#include "TesSys.h"typedef enum _SYSTEM_INFORMATION_CLASS //Q S{SystemProcessesAndThreadsInformation,// 05 Y NSystemCallCounts, // 06 Y NSystemConfigurationInformation, // 07 Y NSystemProcessorTimes, // 08 Y NSystemGlobalFlag, // 09 Y YSystemNotImplemented2, // 10 Y NSystemModul 阅读全文
posted @ 2010-12-30 10:53 ZUDN 阅读 (1215) 评论 (0) 编辑