xyzhacker的专栏

RootKit在Linux下的工作原理及其检测.pdf Rootkit让后门隐藏无踪影.pdf Windows RootKit技术原理及防御策略.pdf Windows操作系统下内核级Rootkitss隐蔽技术研究.pdf 一种自动检测内核级Rootkit并恢复系统的方法.pdf 反Rootkit编程精华——绕过调试寄存器保护直接修改物理地址.pdf 基于线程调度的进程隐藏检测技术研究.pdf 防范Rootkit保障系统安全.pdf 隐藏Rootkit的终极方法.pdf

D:. │ Read me.txt │ 目录里面的文件.txt │ └─Rootkit ├─1。 内核hook │ ├─1）object hook │ │ 1）object hook.doc │ │ │ ├─2）ssdt hook │ │ 2）ssdt hook.doc │ │ SSDT Hook的妙用－对抗ring0 inline hook .doc │ │ swk0207.rar │ │ │ ├─3）inline-hook │ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc │ │ 3）inline-hook.doc │ │ cnnic.rar │ │ ExpLookupHandleTableEntry.rar │ │ ExpLookupHandleTableEntry2.rar │ │ kill_SecuritySoftware.rar │ │ PsLookupProcessByProcessId执行流程学习笔记.doc │ │ 句柄啊，3层表啊，ExpLookupHandleTableEntry啊.doc │ │ 干掉KV 2008, Rising等大部分杀软.doc │ │ 搜索未导出的函数地址.doc │ │ │ ├─4）idt hook │ │ bhwin_keysniff.rar │ │ IDT Hook .doc │ │ │ ├─5）IRP hook │ │ 5）IRP hook.doc │ │ irphook1.rar │ │ irphook2.rar │ │ irphook3.rar │ │ │ ├─6）SYSENTER hook │ │ 6）SYSENTER hook.doc │ │ SysEnterHook.rar │ │ │ ├─7）IAT HOOK │ │ 7）IAT HOOK.doc │ │ HybridHook.rar │ │ testtest.rar │ │ │ └─8）EAT HOOK │ 8）EAT HOOK.doc │ 利用导出表来禁止一些驱动程序的加载.doc │ 导出表钩子.rar │ ├─2。保护模式篇章第一部分： ring3进ring0之门 │ ├─1)通过调用门访问内核 │ │ 1)通过调用门访问内核.doc │ │ myCallGate.rar │ │ test.rar │ │ │ ├─2)通过中断门访问内核 │ │ 2)通过中断门访问内核.doc │ │ myIntGate.rar │ │ │ ├─3)通过任务门访问内核 │ │ 3)通过任务门访问内核.doc │ │ MyTaskGate.rar │ │ │ └─4)通过陷阱门访问内核 │ 4)通过陷阱门访问内核.doc │ exe.rar │ src.rar │ ├─3。保护模式篇章第二部分：windows分页机制 │ 1）windows分页机制.doc │ ├─4。保护模式篇章第三部分：直接访问硬件 │ ├─1）修改iopl，ring3直接访问硬件 │ │ 1）修改iopl，ring3直接访问硬件.doc │ │ drv.rar │ │ exe.rar │ │ │ ├─2）追加tss默认IO许可位图区域 │ │ 2）追加tss默认IO许可位图区域.doc │ │ drv.rar │

专题负责人：combojiang 首先要感谢看雪提供了这么好的学术交流氛围，其次要感谢北极星2003组 织的技术小组，让我有这样一个机会，在这里发表自己的一些心得，疑问， 与大家一同讨论进步。从08年1月8日开始作专题，到现在已经两个多月 的时间了。这些日子，通过专题交流，qq里多了不少朋友，虽然作专题比 较辛苦，占用了一些业余的时间，也没有物质收益，但是看到众多网友的热 心跟贴鼓励，心里还是有说不出的畅快。 rootkit这个专题，在做的过程中我也在不断的调整，这个题目很大，也很 有意思。有很多时候需要花费不少时间从别人的软件那里逆向吸取一些东 西。由于本人能力有限，时间也有限，因此这个专题我想持续差不多一年的 时间，来逐步的把它做好。题目较大，也欢迎大家一起参与进来，共同交流， 一起钻研。 作专题的这段日子，只要一有时间便到看雪这里来看帖子，跟贴子。同网友 交流，自己收获也很大。最后在这里要感谢一下所有对rootkit感兴趣，前 来顶贴，看贴的朋友，期待后面的日子，与大家一同扬帆前行。

Microsoft Visual C++ V6.0 汉化补丁

很多次被朋友邀请写篇关于在Win32下Exploit的文章。一来是因为此 类文章中关于*nix 平台比较多，而Win32相对较少；二来是因为在Win32 中写exploit有些地方可能困难一点。以下我将用一个具体的简单例子，详 细分析漏洞的发现挖掘、调试以及exploit编写利用，这里选择'War-FTPd vl.65' 的一个stack缓冲区溢出漏洞。