1、 绕过SSDT驱动保护 A、去掉页面保护 B、写入In Line HOOK代码 C、用OD附加测试效果 D、反HOOK代码 【190】复制 第20课 的代码 【315】涉及到 页面的保护 ==> 涉及到 一个特殊的寄存器 cr0,32位寄存器 ==> 其中的第17位(从第0位开始) ==> CW ...
分类:
其他好文 时间:
2016-04-02 18:56:19
阅读次数:
222
1、 需要具备的理论知识 A、了解SSDT结构 B、由SSDT索引号获取当前函数地址 C、如何获取索引号 D、获取起源地址 -- 判断SSDT是否被HOOK E、如何向内核地址写入自己的代码 【178】打开 工具KernelDetective 对于内核NtOpenProcess函数,自己写 类似 s ...
分类:
其他好文 时间:
2016-04-01 14:50:10
阅读次数:
259
同学问过我进程体中EPROCESS的三条链断了怎么枚举模块,这也是也腾讯面试题。我当时听到也是懵逼的。 后来在网上看到了一些内存暴力枚举的方法ZwQueryVirtualMemory。 函数原型是 R0通过遍历SSDT获得函数地址。 我们要枚举进程模块信息, 需要用到两类内存信息MemoryBasi
分类:
系统相关 时间:
2016-03-22 18:53:15
阅读次数:
752
GHOST远控是比较有名也比较老的一个远控程序了,原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能,而且随着x64下PG的发展,这里不打算使用传统的HOOK技术,而是用系统回调机制来实现一些功能,其实这些回调机制也
分类:
其他好文 时间:
2016-03-02 01:38:23
阅读次数:
380
Welcome to Microsoft Marketing Speak hell. With the 2012 release of SQL Server, the BIDS, Business Intelligence Designer Studio, plugin for Visual Stu...
分类:
其他好文 时间:
2016-01-17 21:34:16
阅读次数:
205
本篇文章是Integration Services系列的第十五篇,详细内容请参考原文。简介在前一篇,我们使用SSDT-BI将第一个SSIS项目My_First_SSIS_Project升级/转换到SSIS 2012.在这一篇,我们将探讨SSIS变量的姊妹:SSIS参数。我们将展示参数配置,通过包参数...
分类:
其他好文 时间:
2015-12-12 21:39:10
阅读次数:
547
本篇文章是Integration Services系列的第十四篇,详细内容请参考原文。简介在前一篇,我们查看了SSIS变量,变量配置和表达式管理动态值。在这一篇,我们使用SQL Server数据商业智能工具(SSDT-BI)或Visual Studio 2012将我们的第一个SSIS项目转换为SSI...
分类:
其他好文 时间:
2015-11-26 21:09:07
阅读次数:
246
//当Ring3调用OpenProcess//1从自己的模块(.exe)的导入表中取值//2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层)//3进入Ring0 从Ntoskernel.exe模块的导出表中执行ZwOpenProcess(取索引 获得SSDT...
分类:
其他好文 时间:
2015-11-16 15:50:10
阅读次数:
117
typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable; ...
分类:
其他好文 时间:
2015-11-14 23:27:44
阅读次数:
206
概述这个教程的目的,是向大家展示,怎样通过修改DSDT和SSDT,来屏蔽双显卡笔记本的独立显卡。(例如:Intel集成显卡+英伟达独立显卡[Optimus技术],还有Intel集成显卡+Radeon独立显卡)。因为在黑苹果下,双显卡笔记本只能驱动英特尔的集成显卡,而独显如果不做任何处理,虽然它不会工...
分类:
其他好文 时间:
2015-10-25 16:27:43
阅读次数:
11997