- 博客(15)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 C语言文件操作基本常识
由于程序中经常有大量对文件的输入输出操作,它经常构成了程序的主要部分,因而C语言提供了很多输入输出的函数,它们分别用于两种类型文件输入输出系统:即由ANSI标准定义的缓冲文件(也称标准文件(流)输入输出(I/O)系统);另一类是ANSI标准中没有定义的非缓冲文件(也称非标准文件(流)输入输出(I/O)系统)。我们已经熟悉了通过键盘和显示器进行输入输出的一些函数,如scanf(),printf()等
2008-01-22 15:20:00
1281
原创 利用FS寄存器获取KERNEL32.DLL基址算法的证明
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针
2008-01-09 22:52:00
4981
原创 汇编指令ret正解
小小的ret汇编指令大有文章,找到ret的一段ret宏,可管中窥豹:)macro ret AddEspNum{ if ~ AddEspNum eq 0 ; return value if (AddEspNum mod 4) .err end if lea esp, [esp+(AddEspNum+4)] jmp
2008-01-09 11:38:00
7253
转载 shadow ssdt学习笔记
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code typedef struct _SYSTEM_SERVICE_TABLE { PNTPROC ServiceTable; // array of entry
2008-01-04 08:56:00
2161
原创 也谈SSDT Hook(二)
一、实战篇本不想摘代码,既然实战,就不多讲废话了,还是贴上吧,谁都有违背原则的时候:)。代码一:经典案例,替换NtQuerySystemInformation,列取所有查询到的进程名,我使用修改CR0寄存器的方法。#include typedef struct _SYSTEM_THREADS { LARGE_INTEGER KernelTime; L
2008-01-02 22:54:00
2484
原创 也谈SSDT Hook(一)
一、原理篇1. 关于系统服务。系统服务是由操作系统提供一组函数,使得开发者能够通过APIs直接或间接的调用。一个API可以对应一个系统服务,也可以一个API依赖多个系统服务。比如,WriteFile API对应的系统服务是ntoskrnl.exe中的NtWriteFile。系统服务分发属于陷阱分发的范畴,更详细的资料可参考’Windows Internal(4th e
2008-01-02 22:50:00
1846
原创 windows调试器设置
编程中,debug既是技术,又是技巧。熟练的掌握调试工具可以加速软件问题的解决,这对于底层开发和高级开发都是十分必要的。本文就windows调试器的设置问题,根据个人在windbg上的使用经验进行总结,既算是对自己的总结,也算是份大家一起分享自愿吧。本文的前提是windbg已经安装完毕,适合对windbg有一定了解的读者。1.JIT设置。通过JIT设置,可以改变系统默认的调试器-drwtsn3
2007-12-29 15:33:00
2783
转载 Zw*与Nt*的区别
某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?我们分三部分比较:step 1: ntdll.dll中的Zw*和Nt*有什么区别?step 2: ntoskrnl.exe中的Zw*和Nt*有什么区别?step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? ntdll.dll中的Nt*与nt
2007-12-28 10:32:00
1397
转载 如何写windows系统已保护的内存区域
windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003 2) CPU提供写保护的功能是从486开始的 3) 一般合法程序不包括杀毒软件,因为他们在Hook SSDT中是直接改ServiceTableBase,而没有用inline的方法
2007-12-28 09:55:00
808
转载 看看比尔·盖茨在关注什么
尊敬的Bok校长,Rudenstine前校长,即将上任的Faust校长,哈佛集团的各 位成员,监管理事会的各位理事,各位老师,各位家长,各位同学: 有一句话我等了30年,现在终于可以说了:“老爸,我总是跟你说,我会回来拿到我的学位的!” 我要感谢哈佛大学在这个时候给我这个荣誉。明年,我就要换工作了(注:指从微软公司退休)……我终于可以在简历上写我有一个本科学位,这真是不错啊。 我为今天在座的各位同
2007-08-07 21:57:00
708
转载 收藏一个有趣的帖子,现在的客户端真有点让人不安,难怪XSS。。。
先随便进入一个网站,比如:www.sina.com然后把下面代码贴到浏览器地址栏,回车看看发生了什么有趣的现象?javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A()
2007-08-03 10:09:00
506
转载 反病毒引擎设计全解(四)
3.病毒实时监控3.1实时监控概论实时监控技术其实并非什么新技术,早在DOS编程时代就有之。只不过那时人们没有给这项技术冠以这样专业的名字而已。早期在各大专院校机房中普遍使用的硬盘写保护软件正是利用了实时监控技术。硬盘写保护软件一般会将自身写入硬盘零磁头开始的几个扇区(由0磁头0柱面1扇最开始的64个扇区是保留的, DOS访问不到)并修改原来的主引导记录以使启动时硬盘写保护程序可以取得控制
2007-07-30 23:08:00
948
转载 反病毒引擎设计全解(三)
2.虚拟机查毒2.1虚拟机概论近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病毒指令码模拟器"和"Stryker"等多变的名称为反病毒产品的市场销售带来了光明的前景。以下的讨论将把我们带入一个精彩的虚拟技术的世界中。首先要谈及的是虚拟机的概念和它与诸如Vmware(美国VMWAR
2007-07-30 22:56:00
890
转载 反病毒引擎设计全解(二)
1.绪 论本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释,何为“先进”?众所周知,传统的反病毒软件使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本论文将不对杀毒引擎中的特征码扫描和病毒
2007-07-30 22:43:00
1017
转载 反病毒引擎设计全解(一)
本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,作者会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个
2007-07-30 22:27:00
1083
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人