原创 《Windows 內核安全編程技術實踐》

《Windows 內核安全編程技術實踐》發佈啦,這是一本Windows 10內核安全開發系列叢書。 探索 Anti RootKit 反內核工具核心原理與技術實現細節,揭開ARK工具的神祕面紗,本書以實戰角度出發摒棄了大量無用的專業術語,歡迎

原创 Flask框架:運用Ajax輪詢動態繪圖

Ajax是異步JavaScript和XML可用於前後端交互,在之前《Flask 框架:運用Ajax實現數據交互》簡單實現了前後端交互,本章將通過Ajax輪詢獲取後端的數據,前臺使用echart繪圖庫進行圖形的生成與展示,後臺通過render

原创 驅動開發:內核封裝TDI網絡通信接口

在上一篇文章《驅動開發:內核封裝WSK網絡通信接口》中,LyShark已經帶大家看過了如何通過WSK接口實現套接字通信,但WSK實現的通信是內核與內核模塊之間的,而如果需要內核與應用層之間通信則使用TDK會更好一些因爲它更接近應用層,本章將

原创 驅動開發:內核封裝WSK網絡通信接口

本章LyShark將帶大家學習如何在內核中使用標準的Socket套接字通信接口,我們都知道Windows應用層下可直接調用WinSocket來實現網絡通信,但在內核模式下應用層API接口無法使用,內核模式下有一套專有的WSK通信接口,我們對

原创 驅動開發:內核層InlineHook掛鉤函數

在上一章《驅動開發:內核LDE64引擎計算彙編長度》中,LyShark教大家如何通過LDE64引擎實現計算反彙編指令長度,本章將在此基礎之上實現內聯函數掛鉤,內核中的InlineHook函數掛鉤其實與應用層一致,都是使用劫持執行流並跳轉到我

原创 驅動開發:內核LDE64引擎計算彙編長度

本章開始LyShark將介紹如何在內核中實現InlineHook掛鉤這門技術,內核掛鉤的第一步需要實現一個動態計算彙編指令長度的功能,該功能可以使用LDE64這個反彙編引擎,該引擎小巧簡單可以直接在驅動中使用,LDE引擎是BeaEngine

原创 驅動開發:內核強制結束進程運行

通常使用Windows系統自帶的任務管理器可以正常地結束掉一般進程,而某些特殊的進程在應用層很難被結束掉,例如某些系統核心進程其權限是在0環內核態,但有時我們不得不想辦法結束掉這些特殊的進程,當然某些正常進程在特殊狀態下也會無法被正常結束,

原创 驅動開發:內核監控FileObject文件回調

本篇文章與上一篇文章《驅動開發:內核註冊並監控對象回調》所使用的方式是一樣的都是使用ObRegisterCallbacks註冊回調事件,只不過上一篇博文中LyShark將回調結構體OB_OPERATION_REGISTRATION中的Obj

原创 驅動開發:內核監控Register註冊表回調

在筆者前一篇文章《驅動開發:內核枚舉Registry註冊表回調》中實現了對註冊表的枚舉,本章將實現對註冊表的監控,不同於32位系統在64位系統中,微軟爲我們提供了兩個針對註冊表的專用內核監控函數,通過這兩個函數可以在不劫持內核API的前提下

原创 驅動開發:內核運用LoadImage屏蔽驅動

在筆者上一篇文章《驅動開發:內核監視LoadImage映像回調》中LyShark簡單介紹瞭如何通過PsSetLoadImageNotifyRoutine函數註冊回調來監視驅動模塊的加載,注意我這裏用的是監視而不是監控之所以是監視而不是監控那

原创 驅動開發:內核無痕隱藏自身分析

在筆者前面有一篇文章《驅動開發:斷鏈隱藏驅動程序自身》通過摘除驅動的鏈表實現了斷鏈隱藏自身的目的,但此方法恢復時會觸發PG會藍屏,偶然間在網上找到了一個作者介紹的一種方法,覺得有必要詳細分析一下他是如何實現的驅動隱藏的,總體來說作者的思路是

原创 驅動開發:內核監視LoadImage映像回調

在筆者上一篇文章《驅動開發:內核註冊並監控對象回調》介紹瞭如何運用ObRegisterCallbacks註冊進程與線程回調,並通過該回調實現了攔截指定進行運行的效果,本章LyShark將帶大家繼續探索一個新的回調註冊函數,PsSetLoad

原创 一名不知名博主的反思

這年頭做什麼都不容易做什麼都有人噴,寫博客也是,本人雖不是一名全職作者但也算是比較活躍的,筆者的寫作風格,我想真正一直關注我的人一定很清楚,當然不關注我也沒關係,筆者博客多數都是以實戰出發,文章都是可以直接拷貝下來直接用的,筆者寫作從來不會

原创 驅動開發:內核註冊並監控對象回調

在筆者上一篇文章《驅動開發:內核枚舉進程與線程ObCall回調》簡單介紹瞭如何枚舉系統中已經存在的進程與線程回調,本章LyShark將通過對象回調實現對進程線程的句柄監控,在內核中提供了ObRegisterCallbacks回調,使用這個內

原创 驅動開發:內核測試模式過DSE簽名

微軟在x64系統中推出了DSE保護機制,DSE全稱(Driver Signature Enforcement),該保護機制的核心就是任何驅動程序或者是第三方驅動如果想要在正常模式下被加載則必須要經過微軟的認證,當驅動程序被加載到內存時會驗證