#include <ntddk.h>typedef struct _FILE_RENAME_INFORMATION { BOOLEAN ReplaceIfExists; HANDLE RootDirectory; ULONG FileNameLeng... 全文

2008-04-22 15:50 来自版块 - 内核编程

别看SSDT上一大堆HOOK结果连远程线程都没防住??? [附件]

2007-12-09 18:20 来自版块 - 反流氓、反木马和rootkit

刚才在金山网页上看到的,已经被申请专利了。删除FAT卷中文件的方法,        申请号:200610122249.5彻底粉碎FAT卷中文件数据的方法,    申请号:200610122247.6彻底粉碎NTFS卷中文件数据的方法,   申请号:200610122479.1

2007-12-08 20:41 来自版块 - 反流氓、反木马和rootkit

“美国文坛小巨人”祖籍在什邡http://www.newssc.org 2007-11-28 02:58:05   四川新闻网--德阳日报讯:   (记者 郭珂妤) 本月初,被称为“世界上最聪明的孩子”的华裔小女孩邹奇奇首度到亚洲地区访问,在香港担任了一连四天的渣打书节200... 全文

2007-11-28 17:10 来自版块 - 疯狂灌水&& 人生 &&娱乐

试了一下,不大好对付,现在俺的办法是全部卸了,然后Hook NtUserSetWindowHookEx,可惜只支持Xp

2007-11-27 15:53 来自版块 - 反流氓、反木马和rootkit

俺的电脑上运行江民后,它不是会自动升级吗?升级完毕后江民进程重新运行时,会出现系统死机的情况。没有蓝,看上去似乎是什么重要线程被阻塞了(俺猜想)。

2007-11-25 10:54 来自版块 - 反流氓、反木马和rootkit

咋回事哦??俺的MiniSafe没用PhysicalMemory对象,咋报警喃??

2007-11-23 21:52 来自版块 - 反流氓、反木马和rootkit

这是俺前天写U盘安全小助手时想到的,由于其原理十分简单,优点和缺点都十分明显,俺担心别人早就在用了,一直都没写出来。首先,让我们来想一想普通加壳的一些弱点。1、它必须把程序在内存中解密后运行,当然虚拟技术等狠角色除外。2、要修改运行的程序指令难度很大,不容易自动实现。3、由于函数... 全文

2007-11-20 11:41 来自版块 - 反流氓、反木马和rootkit

下了个试了试看,防不住键盘记录多哇。

2007-11-20 10:19 来自版块 - 反流氓、反木马和rootkit

逐步完善中。U盘未插入状态下所创建的进程就不警告了,免得让人心烦。新增一个病毒扫描功能和一个病毒库,就是xyzreg的hive注册表那个程序,因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧,做起试验来比较安全,目前基本上能够应付一些普通壳。可惜俺没得啥子病毒样本,而且俺... 全文

2007-11-16 13:44 来自版块 - 反流氓、反木马和rootkit

伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记创建时间:2007-11-10文章属性:原创文章提交:KiSSinGGer (kyller_clemens_at_hotmail.com)伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记Aut... 全文

2007-11-14 19:57 来自版块 - 反流氓、反木马和rootkit

因为当时没有Delphi编译器,只好自己翻成C了。/* This simple app demonstrates how to kill process by writing process's memory. Write by EP_X0FF and DNY,I ... 全文

2007-09-16 11:13 来自版块 - 反流氓、反木马和rootkit

希望能得件T恤,呵呵。

2007-08-24 20:48 来自版块 - 黑客反汇编之 asm2c

今天看了RootKit上一篇vardyh的文章后,俺好奇地反汇编了一下MmFlushImageSection函数,发现这个函数居然出奇地简单,虽然绕过来绕过去,最终却只是检查了pSectionObjectPointer->ImageSectionObject和pSectio... 全文

2007-08-16 15:00 来自版块 - 反流氓、反木马和rootkit

为什么使用IceSword强制删除正在运行的PE文件后,X:\System Volume Information\_restore{A0B37BE3-3051-4840-A535-A6880718F0DB}\RP19目录下会产生一个一模一样的PE文件,什么意思?IRP版的Move... 全文

2007-08-13 15:42 来自版块 - 反流氓、反木马和rootkit

Faint,俺现在除了知道这玩意儿大小为0x60外啥都不知道!

2007-08-11 20:22 来自版块 - 反流氓、反木马和rootkit


返回顶部