原创 5.9 Windows驅動開發:內核InlineHook掛鉤技術
在上一章《內核LDE64引擎計算彙編長度》中,LyShark教大家如何通過LDE64引擎實現計算反彙編指令長度,本章將在此基礎之上實現內聯函數掛鉤,內核中的InlineHook函數掛鉤其實與應用層一致,都是使用劫持執行流並跳轉到我們自己的函
2023-12-08 14:37:02
原创 C++ 郵件槽ShellCode跨進程傳輸
在計算機安全領域,進程間通信(IPC)一直是一個備受關注的話題。在本文中,我們將探討如何使用Windows郵件槽(Mailslot)實現ShellCode的跨進程傳輸。郵件槽提供了一種簡單而有效的單向通信機制,使得任何進程都能夠成爲郵件槽服
2023-12-08 14:37:02
原创 探索C語言中的Shellcode從提取到執行
ShellCode是一種獨立於應用程序的機器代碼,通常用於實現特定任務,如執行遠程命令、注入惡意軟件或利用系統漏洞。在網絡安全領域,研究Shellcode是理解惡意軟件和提高系統安全性的關鍵一環。本文將深入探討如何在C語言中提取Shellc
2023-12-07 14:46:35
原创 C++ 共享內存ShellCode跨進程傳輸
在計算機安全領域,ShellCode是一段用於利用系統漏洞或執行特定任務的機器碼。爲了增加攻擊的難度,研究人員經常探索新的傳遞ShellCode的方式。本文介紹了一種使用共享內存的方法,通過該方法,兩個本地進程可以相互傳遞ShellCode
2023-12-07 14:46:35
原创 C/C++ 實現枚舉網上鄰居信息
在Windows系統中,通過網絡鄰居可以方便地查看本地網絡中的共享資源和計算機。通過使用Windows API中的一些網絡相關函數,我們可以實現枚舉網絡鄰居信息的功能,獲取連接到本地網絡的其他計算機的相關信息。本文將介紹一個簡單的C++程序
2023-12-06 14:27:27
1
原创 C++ 實現的Ping類的封裝
Ping 使用 Internet 控制消息協議(ICMP)來測試主機之間的連接。當用戶發送一個 ping 請求時,則對應的發送一個 ICMP Echo 請求消息到目標主機,並等待目標主機回覆一個 ICMP Echo 迴應消息。如果目標主機接
2023-12-06 14:27:27
11
原创 C/C++ 原生套接字抓取FTP數據包
網絡通信在今天的信息時代中扮演着至關重要的角色,而對網絡數據包進行捕獲與分析則是網絡管理、網絡安全等領域中不可或缺的一項技術。本文將深入介紹基於原始套接字的網絡數據包捕獲與分析工具,通過實時監控網絡流量,實現抓取流量包內的FTP通信數據,並
2023-12-05 14:35:01
原创 Python 解析JSON實現主機管理
JSON(JavaScript Object Notation)是一種輕量級的數據交換格式,它以易於閱讀和編寫的文本形式表示數據。JSON 是一種獨立於編程語言的數據格式,因此在不同的編程語言中都有對應的解析器和生成器。JSON 格式的設計
2023-12-05 14:35:01
5
原创 C/C++ 通過HTTP實現文件上傳下載
WinInet(Windows Internet)是 Microsoft Windows 操作系統中的一個 API 集,用於提供對 Internet 相關功能的支持。它包括了一系列的函數,使得 Windows 應用程序能夠進行網絡通信、處理
2023-12-02 14:27:22
原创 7.2 Windows驅動開發:內核註冊並監控對象回調
在筆者上一篇文章《內核枚舉進程與線程ObCall回調》簡單介紹瞭如何枚舉系統中已經存在的進程與線程回調,本章LyShark將通過對象回調實現對進程線程的句柄監控,在內核中提供了ObRegisterCallbacks回調,使用這個內核回調函數
2023-12-02 14:27:22
原创 7.3 Windows驅動開發:內核監視LoadImage映像回調
在筆者上一篇文章《內核註冊並監控對象回調》介紹瞭如何運用ObRegisterCallbacks註冊進程與線程回調,並通過該回調實現了攔截指定進行運行的效果,本章LyShark將帶大家繼續探索一個新的回調註冊函數,PsSetLoadImage
2023-12-02 14:27:22
1
原创 6.5 Windows驅動開發:內核枚舉PspCidTable句柄表
在 Windows 操作系統內核中,PspCidTable 通常是與進程(Process)管理相關的數據結構之一。它與進程的標識和管理有關,每個進程都有一個唯一的標識符,稱爲進程 ID(PID)。與之相關的是客戶端 ID,它是一個結構,其中
2023-12-02 14:27:22
原创 6.6 Windows驅動開發:內核枚舉Minifilter微過濾驅動
Minifilter 是一種文件過濾驅動,該驅動簡稱爲微過濾驅動,相對於傳統的sfilter文件過濾驅動來說,微過濾驅動編寫時更簡單,其不需要考慮底層RIP如何派發且無需要考慮兼容性問題,微過濾驅動使用過濾管理器FilterManager提
2023-12-02 14:27:22
原创 6.8 Windows驅動開發:內核枚舉Registry註冊表回調
在筆者上一篇文章《內核枚舉LoadImage映像回調》中LyShark教大家實現了枚舉系統回調中的LoadImage通知消息,本章將實現對Registry註冊表通知消息的枚舉,與LoadImage消息不同Registry消息不需要解密只要找
2023-12-02 14:27:22
原创 7.4 Windows驅動開發:內核運用LoadImage屏蔽驅動
在筆者上一篇文章《內核監視LoadImage映像回調》中LyShark簡單介紹瞭如何通過PsSetLoadImageNotifyRoutine函數註冊回調來監視驅動模塊的加載,注意我這裏用的是監視而不是監控之所以是監視而不是監控那是因爲Ps
2023-12-02 14:27:17