什么是句柄?句柄是一种内核对象,当一个进程创建或者打开一个内核对象时,就会获得一个句柄,通过这个句柄就可以访问内核对象。而句柄并不是高2G内存,他是一个索引,通过这个所以我们可以在内核轻松找到对应的内...
12月20日37 views评论ptr
句柄
句柄表
12月20日37 views评论ptr
句柄
12月20日37 views评论ptr
句柄
白驱动 Kill AV/EDR(上)
“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
12月19日45 views评论edr
进程
白驱动 Kill AV/EDR(下)
为什么在ASLR机制下DLL文件在不同进程中加载的基址相同
一DLL 注入实现1.1 打开 Visual Studio 创建一个新的 DLL 项目。1.2 在"dllmain.cpp" 添加以下的代码。// dllmain.cpp : 定义 DLL 应用程序的...
12月18日30 views评论ssid
虚拟地址
一种新的辨认VMP3的方法
作者论坛账号:DNLINYJ一种新的辨认VMP3的方法最近,VMP 3.5.1 的源码被完整泄露了 等不及看见国产虚拟机了朋友在读源码的时候发现了 VMP 编译器水印的位置,我只是个调试菜鸡...
12月18日26 views评论hex
mask
CS2游戏漏洞0day
不要玩CS2!这个话题标签近期排到推的热搜上。因为最近 CS2 游戏被曝光存在一个严重的漏洞,漏洞可以攻击所有在线的玩家,因为同时适用于大厅邀请功能,在游戏菜单中简单地设置离线状态也会被攻击。经测试发...
12月18日41 views评论0day
游戏漏洞
软件逆向之PE文件
PE(Portable Executable)文件是可移植的可执行文件,常见的如 EXE、DLL、OCX、SYS、COM等都是PE文件。凡是以二进制形式被系统加载执行的文件都是PE文件。 其实PE文件...
12月17日31 views评论pe文件
地址
万字长文教你反杀老师机房控制 反控全班同学(一)
进程与线程-内核隐藏进程
驱动代码 #include <ntifs.h> #include <wdm.h> #include <ntddk.h> #include <ntstatus....
12月16日22 views评论ntstatus
pirp
进程注入
系统调用来进行注入,不明白的可以https://blog.csdn.net/qq_34479012/article/details/128892693这里使用到如下几个函数:NtOpenProcess...
12月16日50 views评论id
函数
进程与线程-模拟线程切换
调度链表在这之前,要先补充几个知识。在前面,我们通过内核驱动对进程进行断链隐藏,发现并不会影响进程的执行,那么这是不是说明CPU对进程的控制并不是通过这个链表呢?答案是肯定的。在操作系统中,共有33个...
12月16日程序逆向21 views评论线程
进程
ProcessHacker驱动漏洞分析
介绍 ProcessHacker的2.8.0.0版本的驱动程序kprocesshacker.sys存在漏洞,该驱动是数字签名的,利用驱动漏洞可以在R0下结束进程、暂停进程,且可结束自我防护不严格的杀毒...
12月15日142 views评论param
漏洞分析
176