目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。关于代码注入Ring3层的方法主要有:远程线程CreateRemoteThread消息钩子SetWindowsHookExRing3 APC Qu...
Monthly Archives: 十月 2008
构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器
优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命...
Vista Bootmgr/Winload使用的大部分选项ID
vista bootmgr的选项存储在systemdevice\boot\bcd,这个HIVE文件类似以前的boot,ini
boot.ini的选项在该HIVE中是以guid->option id的形式来体现的
除了保留...
[POC]基于IO Packet隐藏文件和注册表,过磁盘解析和总线解析
昨天晚上玩过游戏,睡觉前写了一点代码,下午醒来又稍微改了改
只是POC~
文件的貌似有时候能隐藏又时候不行~郁闷的是每次跟过去就可以...
About Handling Nmi
本文基于Windows2003以上32位系统,因为XP处理NMI很弱,我们后面再说。
最近为硬件写驱动,需要处理关于NMI的一些东西,2003或者Vsita32上如果你不想弄的太复杂,...
