原创 是否應該佛系一點?

 最近發現自己的心態有點問題,不知該如何是好。當自己或別人的表現和自己的預期相去甚遠時,心裏老是放不開,時常想它找原因。有些事情可能無關緊要,但是我還是會去想它,這樣有時候會影響自己的狀態。我覺得自己在有些方面應該佛系一點,看淡一些,這樣

2019-07-31 02:11:48

原创 windows 對象管理學習小結

/* win7 32 windows 對象管理相關部分學習小結, 可以結合winobj,windbg等工具來查看及驗證相關數據 */ #include "ntddk.h" //extern ObTypeIndexTable; #defi

2019-07-31 02:11:48 4

原创 遍歷協議鏈表ndisProtocolList

遇到一個樣本“搞”網絡協議TCPIP的一些處理函數,剛開始半天對着彙編看半天感覺數據結構對不上,就拿起ida打開ndis.sys看了下NdisRegisterProtocol的內部實現。發現確實不一樣,我想應該是該樣本針對的系統不一樣,於

2019-07-31 02:11:48

原创 網友的語錄

(看到網上的一些比較有意思的文字就抄過來了[偷偷笑]) 一,來自某音樂平臺   遲言暮雨  玖辛奈:鳴人……不管是好吃的還是不好吃的,不要挑食,一定要多吃啊,這樣才能長得壯壯的;每天都要洗澡,早睡覺,可不要熬夜;記得一定要交朋友,多少是無

2019-05-14 10:08:33

原创 在ntdll.dll中找到NtCreateProcess(***)

const WCHAR SourceString[]=L"\\SystemRoot\\system32\\ntdll.dll"; char aNtCreateProcess[]="NtCreateProcess"; void op_n

2019-03-18 00:47:58 3

原创 EquationLaser_reversed_partial

EquationLaser是方程式樣本中的較早,從它的編程應用技巧的"古老"程度可以看出來,當然對於我這種編程經驗比較欠缺的愛好者還是值得學習研究一下的.它會收集一些系統信息,鍵盤記錄等。本來在資源裏有個驅動文件,但是樣本里的驅動已經釋放

2019-03-07 21:09:24

原创 win7_uac_whitelist2

原文地址:https://www.pretentiousname.com/misc/win7_uac_whitelist2.html  (片段翻譯,詳情參考原文)    Mircosoft 將會通過Windows Defender(現在是

2019-02-28 20:43:29 1

原创 Backdoor Longhorn部分重寫

在網上找了個樣本,看了一下好像是個服務程序,而且感覺原作者思路非常清晰,自己也試着逆向寫了一點,沒有寫完,沒有調試. /* #define SERVICE_STOPPED 0x0000000

2019-01-16 20:29:06

原创 消失的故鄉

我想在農村長大的人對那個地方會保有一種特殊的感情吧! 都說女大十八變,我所在的灣子好像也不可避免地經歷了這麼一個階段,而且這個階段好像有點長,變化也有點太大。細細想來, 大概是從我去外地讀書的 時候開始,村裏的建設搞得風生水起,基本上是回

2019-01-12 20:35:26

原创 Event(事件)的簡單使用

Event 事件通常會用來控制同步操作,通俗地說就是一個流程中下一步操作會等待上一步操作結束纔開始。下面是個簡單的例子: ////創建事件對象 #define event_name "shared_event" int main() {

2018-11-26 05:33:35

原创 手動完成FindResource()等函數的工作

(1024節日快樂)  在樣本中多次從資源中獲取原始數據,就是通過調用FindResource。FindResource(HMODULE hModule,LPCSTR lpName,LPCSTR lpType)函數功能是找到文件中的指定資

2018-10-27 05:46:05 2

原创 Equation Group 模塊lsasrv32.dll中數據獲取

這次樣本中還是像之前的風格數據在使用前需要解密,該樣本中要處理的數據是連續存起來的,使用時就一次都解密。 void compute_seed(int *a,int *b,int *c) { int temp=0,v=0;

2018-10-27 05:46:05 5

原创 Equation Group的組件DoubleFantasy模塊分析(上)數據收集

在分析的過程中可以發現,這個組件和前面分析的一個組件在大的框架下表現是一樣的:它們都有一個貫穿整個過程的解密函數,同時使用資源來裝載‘材料’–數據和程序。 尋找資源的代碼 FindResourceA(hModule,lpName,lpT

2018-09-04 08:33:11 4

原创 PsCreateSystemThread()函數的還原

主要是對傳入的參數進行檢查,再調用PspCreateThread() typedef struct _client_id { PVOID UniqueProcess; PVOID UniqueThread; }CLIENT

2018-09-04 08:33:11

原创 socket分包小實驗

當採用最基本socket來傳輸數據時,如果接受方的緩存去足夠大,一次就能保存全部數據;但是當傳輸的數據比較大(像視頻,大文件等),這個時候數據明顯需要多次傳輸。下面是演示將數據分開多次發送的一個例子,分包的關鍵就是自己設定一套規則,將要發

2018-09-04 08:33:10