SoftRCE再次回归上线
作者:ayarei 不知道如何形容这次的再相会。没错,SoftRCE.net终于再次上线了。很高兴,在前一段时间,我们选择了比较稳定的服务商Wopus中文社区作为IDC。之前SoftRCE.net之所以离线,是因为没有获得国内网站备案。(SoftRCE.net确实申请了网站备案,但是迟迟没有获得备案号,最终被ISP商强制关闭。)这次的服务器是选定在了美国,虽然速度慢了一些,但是起码不会受到不可理解的原因导致的关闭的困扰。 这次如果没有什么意外的话,SoftRCE.net会坚持上线,并且将会带来更多精彩内容。希望大家继续期待和支持吧 醒目:blog是可以自行注册订阅者的,如果你想获得作者权限,请联系管理员Robinh00d先生
容易被忽略的IDA快捷键
1. 选中寄存器按V,用输入内容替换寄存器名
2. 选定汇编指令段按T,批量修改范围内结构偏移
3. 选中操作数按Alt+F1,输入内容替换操作数
4. 选定汇编指令行按Alt+F2,输入内容替换原有指令
5. Insert,输入段前注释
6. Shift+Insert,输入段后注释
今天又地震~~
四川平武县今晨发生5.1级地震 2008年11月16日08:13 新华网
新华网北京11月16日电 据国家地震台网测定,北京时间11月16日6时59分,在四川省绵阳市平武县(北纬32.2度,东经104.7度)发生5.1级余震。震源深度约22公里,震中距绵阳市约80公里,距成都市约170公里。据初步了解,成都市和绵阳市平武、江油等地有震感!
上帝保佑我还活着!赶快在SOFTRCE上留篇文章。不然不知道以后还有没有机会。。。 。。。
…
绕过主动防御的代码注入方法一点思考
目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。关于代码注入Ring3层的方法主要有:远程线程CreateRemoteThread消息钩子SetWindowsHookExRing3 APC QueueUserApc修改线程上下文SetContextThread
构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器
优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通信首先要考虑的问题。
因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。
…
About Handling Nmi
本文基于Windows2003以上32位系统,因为XP处理NMI很弱,我们后面再说。
最近为硬件写驱动,需要处理关于NMI的一些东西,2003或者Vsita32上如果你不想弄的太复杂,可以调用新增的KeRegisterNmiCallback函数注册一个回调函数等待处理.但是在XP下就很困难,解决的办法有两个:hook或者update.所谓hook,这个不难理解,hook在哪里就仁者见仁了;而update就是仿造2003下的实现方法,在XP下自己实现一些处理例程….
About the SMM rootkit
这几天回上海搬家累坏了,回来北京也没什么好东西放出来,整理点以前的乱东西凑数 
其实SMM是早在97年就有的东西,我跟这个东西也算是有点渊源,之前在实验室做过一些关于这个的研究,但是远没有到rootkit的方向.之后在逛网站的时候发现一篇5.12时候的新闻:Researchers dig into x86 chips for stealthier rootkits…
