台部落wowbell

今天的隨筆寫點如何用內核調試器“手工”分析句柄表，小兒科的伎倆~ 結合 Russinovich 的工具 Handle 正好可以驗證我手工分析的正確性平臺是 Win-XP SP2 高手權當消遣~ 因爲我也就是當消遣才寫的

2020-02-25 17:59:55

在衆多隨系統啓動的方法中，感染系統文件是一種比較隱蔽的方法，可以做到使被感染的系統文件大小和時間都不變，而且無需修改註冊表，一般人很難發現。下面就爲大家詳細介紹這種方法。分析方法很簡單，只要將一段運行其它程序的代碼添加到系

2020-02-25 17:59:55

// 原理：通過/Device/PhysicalMemory修改NtVdmControl入口，跳轉到Ring0Code //*********************************************************

2020-02-25 17:59:55

HotPatch.c #include <ntddk.h> #include <KerStr.h> #include <RtlHelp.c> #define MEM_HOT_PATCH 'HotP' PVOID _MmSystemLoa

2020-02-25 17:59:55

爲了安全起見，Windows XP及其以後的系統將一些重要的內存頁設置爲只讀屬性，這樣就算有權力訪問該表也不能隨意對其修改，例如SSDT、IDT等。但這種方法很容易被繞過，我們只要將這些部分修改爲可寫屬性就可以了，不過當我們的事情做完

2020-02-25 17:59:55

開通博客，準備開始記錄平時點滴學習的東西了

2020-02-25 17:59:55

一．概述：如果一個病毒文件被植入正在運行的進程中，我們想要清除它時系統總會提供無法刪除；有時編輯文件的進程被意外中止而文件句柄沒有正確釋放，導致此文件無法進行改寫操作。現在我們會使用Unlocker之類的小工具去解鎖，但在編寫程序的可

2020-02-25 17:59:45

我們知道，系統中一些重要的表項如SSDT是隻讀的，如果我們強行對其進行修改就會造成BSOD的嚴重後果。當然這種保護方式很容易被繞過，我們曾經介紹了通過修改cr0來禁用WP（Write Protect，寫保護）位的方法，現在再介紹一種不需

2020-02-25 17:59:45

GetCurrentProcessID 得到當前進程的ID OpenProcessToken 得到進程的令牌句柄 LookupPrivilegeValue 查詢進

2020-02-25 17:59:45

在一般任務管理器無法關閉進程時用到內存清零法殺進程原理分析 1.先打開CSRSS.EXE系統進程，獲得其句柄，幾乎系統所有的HANDLE結構體中,裏面的ProcessId都是指向csrss.exe的，利用它的PID來進行遍歷進程

2020-02-25 17:59:45

需要顯示遠程目錄下文件跟文件夾的圖標，但是軟件並不支持直接獲取遠程目錄下的圖標，這時候就需要讀取本機對應的目錄圖標和對應類型文件圖標。初始化的時候。需要將Imagelist設置給ListCtrl控件。 1 2 3 4 5 6

2018-09-01 15:41:18

轉自： http://www.debugman.com/discussion/6064/%E5%BE%88%E5%A4%9A%E5%8F%A5%E8%AF%9D%E8%AE%A9xuetr%E5%8D%B8%E8%BD%BD%E4%B8%

2018-09-01 15:41:18

一定要先感謝爲技術的進步而付出辛勤汗水的人,感謝他們對技術的共享. 一個通用IRP訪問文件的十六進制編輯器(開源代碼) -- 被詛咒的神(邪惡八進制信息安全團隊) Windows平臺內核級文件訪問

2018-09-01 15:41:16

轉自：http://hi.baidu.com/_achillis/blog/item/9857ebec7303404779f05579.html PspCidTable也是一個句柄表,其格式與普通的句柄表是完全一樣的.但它與每個進程私

2018-09-01 15:41:16

轉自：http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.html PspCidTable的攻與防,其實就是進程隱藏與檢測所涉及到的一部分工作~~ 不管基

2018-09-01 15:41:16