加载中
go编译出来的exe逆向

编译过的主函数就在main_main当中,当然捆绑了一大堆运行时库,但你写的代码入口就在这里。

Go
今天 08:29
74
NT6上的获取进程全路径

PUNICODE_STRING PsGetProcessFullName(PEPROCESS pTargetProcess) { PFILE_OBJECT pFileObject=NULL; POBJECT_NAME_INFORMATION pObjectNameInfo=NULL; if(!NT_SUCCESS(PsR......

2019/12/13 17:37
22
过TP保护的最佳方法(最新整理)

https://wenku.baidu.com/view/eecc906148d7c1c708a145aa.html

2019/12/13 11:33
56
内核程序中进程的pid,handle,eprocess之间相互转换的方法

在内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开...

2019/12/13 11:05
47
暴力搜索内存进程对象反隐藏进程

我们前面说过几种隐藏进程的方法: 遍历进程活动链表(ActiveProcessLinks) 遍历PspCidTable表检测隐藏进程 但还是不能防止别人通过各种方法来隐藏进程,所以下面来介绍一种通过暴力搜索内存...

2019/12/12 17:33
25
EPROCESS遍历进程

Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 ...

2019/12/11 10:52
25
Delphi XE4 inline 的用法,类似于VC的Macro宏

为了提高应用程序的性能,可以用inline声明一个函数过过程,对于声明为inline的过程,编译器在编译时,会取代正常的过程调用方式,取而代之是直接把这个函数的编译代码拿过来生成到调用该过程...

2019/12/04 10:32
71
ssh-keygen生成的id_rsa文件的格式

背景 在Linux上我们来生成一对RSA的公钥和私钥的时候,我们通常使用下面的命令: gemfield@gemfeld:~$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save t...

10大开源安全信息和事件管理SIEM工具

企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分...

RSA私钥文件(PEM-PKCS#1)解析

在PKCS#1 RSA算法标准中定义RSA私钥语法 RSAPrivateKey ::= SEQUENCE { version Version, //版本 modulus INTEGER, // RSA合数模 n publicExponent INTEGER, //RSA公开幂 e privateExponent ...

2019/11/21 14:52
17
vc编程实现sys文件的安装

#include <windows.h> #include <winsvc.h> #include <conio.h> #include <stdio.h> #define DRIVER_NAME "123467" #define DRIVER_PATH "..\\HelloDDK.sys" //装载NT驱动程序 BOOL LoadNTD...

2019/11/18 14:10
19
Ring0 注入 Ring3 的一种新方法

/*************************************************************************************** * * 作者: Fypher [nmn714@163.com] * http://hi.baidu.com/nmn714 * * 时间: 2009/12/29 ....

2019/11/18 14:07
11
apc启动新进程

http://www.codeproject.com/Articles/13572/Starting-a-Process-from-KernelMode #include "Process.h" typedef enum { OriginalApcEnvironment, AttachedApcEnvironment, CurrentApcEnviro...

2019/11/18 11:14
8
内核中通过给线程插apc注入dll

void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT P...

2019/11/18 10:54
35
ring0下注入DLL

最近有在做一个东西,需要在ring0下拦截进程启动并注入DLL(dll用于hook ring3下的API),很多种实现方法,此处采用sudami大神提供的思路,另一位大侠提供的参考代码。虽然这个东西没什么技术...

2019/11/18 10:43
27
struct ALPC_PROCESS_CONTEXT windows 内核数据结构及第三方逆向网站

typedef struct _ALPC_PROCESS_CONTEXT { EX_PUSH_LOCK Lock; LIST_ENTRY ViewListHead; ULONG PagedPoolQuotaCache; } ALPC_PROCESS_CONTEXT, *PALPC_PROCESS_CONTEXT; Windows Vista K......

2019/11/15 18:15
60
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)

by Fanxiushu 引用或转载请注明原作者 2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用...

2019/11/15 14:37
40
Win64 驱动内核编程-7.内核里操作进程

在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用...

2019/11/15 13:59
9
Windows内核驱动EPROCESS遍历进程模块

包含的头文件 #include <ntifs.h> #include <ntstrsafe.h> 声明的API函数 NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process); NTKERNELAPI PPEB_EX PsGet...

2019/11/15 10:48
48
PsLookupProcessByProcessId function

The PsLookupProcessByProcessId routine accepts the process ID of a process and returns a referenced pointer to EPROCESS structure of the process. Syntax C++ NTSTATUS PsLookupPro...

2019/11/15 10:45
72

没有更多内容

加载失败,请刷新页面

返回顶部
顶部