ssdt | CN-SEC 中文网

安全开发

深度了解现代安全软件对抗与缓解措施

前言安全软件自保与对抗一直是一个古老的话题,从最早的VKING蠕虫对抗杀毒软件再到直接物理句柄(physical handle)写入,再到debug后门API….到现在的各种驱动漏洞利用.随着国内外黑...

11月23日14 views评论

阅读全文

安全文章

深入浅出 Windows系统的Rootkit对抗机制

在国庆专题: 深度了解”核晶“的工作原理并且手动实现一个自己的"核晶"中我提到过 "在XP时代的安全软件的工作是基于SSDT HOOK的,任何R3的API,包括ALPC/注入/各种乱七八糟的API...

11月03日13 views评论

阅读全文

取证分析

Windows | 内存映像取证分析思路（二）

内存取证，比使用工具更重要的是遵循正确的分析过程，首要应该是找到第一个异常点。4. 内存取证分析思路第一步从进程分析开始，因为它们是内存中最重要的对象。通过仔细检查分配给每个进程的所有各种对象。第二和...

10月31日42 views评论

阅读全文

安全新闻

绕过EDR探索系列一 | 用户模式HOOK

前言山石网科情报中心在分析狩猎样本时，对一些EDR对抗技术做了技术沉淀。该系列将由浅入深介绍EDR相关安全对抗技术。什么是 syscallWindows下有两种处理器访问模式：用户模式（user mo...

01月16日69 views评论

阅读全文

SSDT HOOK（补充）

修改页的属性两种范式1、第一种办法，用我们学过的知识，通过页表基址直接修改if(RCR4 & 0x00000020){//说明是2-9-9-12分页KdPrint(("2-9-9-12分页 %...

11月28日程序逆向18 views评论

阅读全文

程序逆向

系统调用-SSDT HOOK

SSDT与SSDT Shadow前面我们已经介绍了系统服务表-SystemServiceTable，并且了解到一个程序如何从3环进入0环找到我们想要的函数，今天在完成SSDT HOOK项目之前，还需要...

11月27日12 views评论

阅读全文

程序逆向

如何使用 Dtrace 和 XPerf 监视 Windows 系统调用

监视系统调用 (syscall) 和分析系统行为可以帮助您调试产品并提高其性能、安全性和合规性。然而，由于缺乏内置工具以及需要逆向工程和应用程序行为分析的专业知识，监视 Windows 中的系统调用面...

07月25日51 views评论

阅读全文

移动安全

内核实现x86QQ防截屏

本文为看雪论坛优秀文章看雪论坛作者ID：breeze911防截屏需要hook一个函数NtGdiBitBlt, 实现代码在附件里。//本来我以为要hook两个函数呢，还有个NtGdiStretchBlt...

01月01日51 views评论

阅读全文

安全百科

windows消息机制详解

首发于奇安信攻防社区：https://forum.butian.net/share/1609前言 windows是一个消息驱动的系统，windows的消息提供了应用程序之间、应用程序与windows ...

06月08日57 views评论

阅读全文

安全文章

构建API调用框架绕过杀软hook

0x00 前言我们知道杀软在API函数的监控上一般有两种手段，一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API，另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么...

04月28日28 views评论

阅读全文

程序逆向

构建API调用框架绕过杀软hook

04月27日37 views评论

阅读全文

程序逆向

构建API调用框架绕过杀软hook

首发于跳跳糖社区：https://tttang.com/archive/1546/前言我们知道杀软在API函数的监控上一般有两种手段，一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API，另...

04月26日57 views评论

阅读全文

深度了解现代安全软件对抗与缓解措施

深入浅出 Windows系统的Rootkit对抗机制

Windows | 内存映像取证分析思路（二）

绕过EDR探索系列一 | 用户模式HOOK

SSDT HOOK（补充）

系统调用-SSDT HOOK

如何使用 Dtrace 和 XPerf 监视 Windows 系统调用

内核实现x86QQ防截屏

windows消息机制详解

构建API调用框架绕过杀软hook

构建API调用框架绕过杀软hook

构建API调用框架绕过杀软hook

在线咨询

微信