首发于奇安信攻防社区:https://forum.butian.net/share/1609前言 windows是一个消息驱动的系统,windows的消息提供了应用程序之间、应用程序与windows ...
06月08日8 viewsservice
table
windows评论
windows消息机制详解
06月08日8 viewsservice
table
windows评论
06月08日8 viewsservice
table
windows评论
构建API调用框架绕过杀软hook
0x00 前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么...
04月28日16 viewsapi
内核
函数评论
构建API调用框架绕过杀软hook
0x00 前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么...
04月27日14 viewsapi
内核
函数评论
构建API调用框架绕过杀软hook
首发于跳跳糖社区:https://tttang.com/archive/1546/前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另...
04月26日16 viewsapi
hook
mov评论
【2022HVV系列】| 2-应急响应常用工具
1 进程分析工具1.1 ProcessHacker功能:ProcessHacker是一款不错的进程分析工具,可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表……,也可以将特定...
04月25日30 views信息
注册表
进程评论
ring0下使用内核重载绕过杀软hook
首发于奇安信攻防社区: https://forum.butian.net/share/1423前言内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢?我们知...
04月07日20 viewseax
entry
hook评论
r0下进程保护
简介SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起...
02月20日40 viewsapi
函数
地址评论
【技术分享】r0下的进程保护
前言进程保护是众多AV或者病毒都要所具备的基础功能,本文就0环下通过SSDT来对进程进行保护进行探究,SSDT也不是什么新技术,但作为学习,老的技术我们同样需要掌握。 什么是SS...
01月17日48 viewsapi
script
进程评论