小刀志

小刀志

某不知名程序员的网上巢穴。稍安勿躁,正在开发。

NtUserXxx 调用引发 BSOD 的问题分析
这篇文章通过一次在 Windows XP 和 Windows 7 操作系统内核中分别调用同一个 NtUserXxx 系统调用产生不同现象的问题,对其做了简单分析,并对 Windows XP 中引发异常的相关机制提出扩展探究。最近在驱动...
通过 Windows 用户模式回调实施的内核攻击
这篇文章翻译自一篇多年之前的论文,原文系统地描述了 win32k 的用户模式回调机制以及相关的原理和思想,可以作为学习 win32k 漏洞挖掘的典范。早前曾经研读过,近期又翻出来整理了一下翻译,在这里发出来做个记录。原文链接在文后可见...
恶意样本对抗栈回溯检测机制的套路浅析
最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具的栈回溯机制失效的目的。在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都...
从 PE 文件资源表中提取文件的版本信息
前段时间需要实现对 PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用,简单方便。但是在 Linux 下提取 PE 文件(非 Linu...