这儿有一个antirootkit项目,比较适合中等水平的rootkit学习者学习参与。目前只有两个人,在业余时间通过MSN交流一些rootkit技巧,比较单调...很希望有更多的爱好者参与...该软件目前实现的功能基本上是目前已经存在的想法,原创不多,很期待新想法的注入...详细... 全文

2009-08-01 16:17 来自版块 - 反流氓、反木马和rootkit

程序的执行情况是这样的:一个全局链表。一个操作全局链表的函数,在该函数中查找全局链表,找到要删除的元素后,将该元素脱链,然后执行ExFreePool函数,同时出现蓝屏,代码为0x00000019.实在不知是什么原因。如下源码:NTSTATUS NodeRemove( DWO... 全文

2007-08-27 19:34 来自版块 - 内核编程

最近在写一个监控系统中某几个进程的线程退出程序,经研究紧紧监控ntterminatethread程序是不够的,故需要监控exitthread程序,但该程序在内核中没有具体有意义的对应函数,在用户层inline hook但用户内存受到保护,无法下手。请高手指点一下,这个问题该如何解... 全文

2007-07-12 22:14 来自版块 - 反流氓、反木马和rootkit

线程调用ExitThread函数,该函数怎么没有对进程的线程链表进行操作呢,应该线程将自己从所属进程的线程链表中删除。请大侠们解惑。

2007-07-11 21:15 来自版块 - windows 源码解读

刚刚看了一个帖子,意识到一个问题,若哪位兄弟回答了楼主的问题,要给分。不好意思了,刚刚意识到这个问题,赔礼道歉了wowocock,k大还有很多兄弟都帮助过小弟,回一下贴,给你们分。

2007-06-06 20:54 来自版块 - 反流氓、反木马和rootkit

hook了tcp设备的IRP_MJ_DEVICE_CONTROL函数,然后在hook函数中设置了CompletionRoutine函数。但是我在应用层利用deviceiocontol去访问驱动,却没有调用CompletionRoutine函数。用softice进去后发现还是进了我... 全文

2007-06-06 17:21 来自版块 - 反流氓、反木马和rootkit

上海好像没什么公司做杀毒的,其它安全方面的公司有什么公司还有做windows内核驱动的有没有好公司兄弟们能否推荐一下:)

2007-05-28 14:40 来自版块 - 白名单

我准备通过hook disk.sys的方法来检测文件隐藏,但在driver/disk下面有很多device,我该hook 哪个device 象其中有一个\Device\Harddisk1\DP(1)0x7e0000-0x5f1c0600+3设备,我利用函数IoGetDeviceO... 全文

2007-05-28 14:13 来自版块 - 反流氓、反木马和rootkit

基于内存扫描的方法检测内核对象,如进程对象,该如何扫描内存查了很多资料,找不到头绪,暴力搜索总是蓝屏,期待高手指点:)

2007-04-28 11:07 来自版块 - 反流氓、反木马和rootkit

扫描内核状态下的内存,当扫描某个地址时(如:0x81700000),该处的值在softice下显示<???>,然后访问该地址处时,出现蓝屏。疑问:1、<???>什么意思 2、该如何扫描某段内存,如:0x80000000--0x81000... 全文

2007-04-27 14:20 来自版块 - 内核编程

最近产生一个想法:打算直接操作pspcidtable表,具体步骤是:访问pspcidtable的handletablelist变量(该变量是一个list_entry结构),通过该变量可以遍历整个pspcidtable链表(不知想法对不对),但是虽然在2000下handleta... 全文

2007-04-22 14:05 来自版块 - 反流氓、反木马和rootkit

在windows server 2003下_LDR_MODULE模块数据结构用windbg找不到,但在2000下可以,请问2003下的模块信息的数据结构是如何定义的。请各位大哥赐教

2007-04-07 22:01 来自版块 - 反流氓、反木马和rootkit

最近学习了EPROCESS与KPROCESS结构,但是通过此两个结构找不到线程结构的基址。

2007-04-04 23:17 来自版块 - 反流氓、反木马和rootkit

在检测ssdt表时,如果按照SSDT表项的地址是否在NTOSKRNL.EXE范围内作标准,那么得出的异常结果是否就是非法,有没有是系统本身的?

2007-03-28 12:06 来自版块 - 反流氓、反木马和rootkit

哪位兄弟有内核API函数分类。

2007-03-26 17:44 来自版块 - ABC初学者

最近看了integrity check方法,觉得有点疑惑:应该如何保证baseline的正确性。应该怎么保证baseline的源泉不被感染。

2007-03-18 10:39 来自版块 - 反流氓、反木马和rootkit


返回顶部