click to login
某不知名程序员的网上巢穴。稍安勿躁,正在开发。

HOOK NtCreateThreadEx 导致 0xC00000F2

近期在研究和开发基于 Intel VT-x/EPT 虚拟化技术的内核检测技术。通过影子页技术实现对目标函数的虚拟挂钩。 在 Windows 7 x64 环境开...

NtUserXxx 调用引发 BSOD 的问题分析和扩展

这篇文章通过一次在 Windows XP 和 Windows 7 操作系统内核中分别调用同一个 NtUserXxx 系统调用产生不同现象的问题,对其做了简单分析...

通过用户模式回调实施的内核攻击

这篇文章翻译自一篇多年之前的论文,原文系统地描述了 win32k 的用户模式回调机制以及相关的原理和思想,可以作为学习 win32k 漏洞挖掘...

内核函数的可选参数和 PreviousMode 的关联性

在驱动中实现对 Windows 7 x86 系统平台的 nt!NtWriteVirtualMemory 的 Inline Hook 并捕获各进程调用该 API 时的参数,并在 Hook 处理...

通过 VBScript 挂马失败的代码实例分析

前段时间检测系统监测到一批网站挂马,在网页中嵌入 VBScript 脚本,通过脚本中语句调用,将在脚本中定义的 PE 文件内容的十六进制文本...

恶意样本对抗栈回溯机制的套路浅析

最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具的栈回溯机制失效的目的。在本文中...

从 PE 文件资源表中提取文件的版本信息

前段时间需要实现对 PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然...

在 Windows x64 中的内核特权级别提升

这篇文章翻译自一篇英文技术博客。文章讲述了 Windows 7 x64 系统中对指定进程进行特权级别提升的原理和方法。原文链接在文后可见。 0x0...

内核驱动程序完整性校验的原理分析

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后,驱动中调用的一些系统回调函数(如 ObRegist...

进程创建通知回调通知例程的学习笔记

在 Windows 操作系统中可以通过 PsSetCreateProcessNotifyRoutine 函数注册或移除一个进程创建通知回调例程。在 Vista 以及之后的版本中...
版权所有 © 2010-2016 小刀志 · 本站基于 WordPress 构建 · 原创内容转载请取得作者同意和授权