Rootkit --逆向工程技術--

網上說的比較常見的4種方法：

      為了使shellcode在多種作業系統平臺下都可以正常運行，就不得不動態的定位kernel32.dll的基底位址。而被廣泛使用的一種方法是通過TEB/PEB結構獲取kernel32.dll基底位址，我個人第一次接觸是通過綠盟月刊的一篇文章“通過TEB/PEB枚舉當前進程空間中使用者模組清單”方才知道這種被眾多程式設計人員使用的方法。至於這個方法的最原始出處該文作者也未提及。只得知29A雜誌也有大量使用該技術。這種方法適用於除Win7以外的所有windows作業系統包括95/98/ME/NT/2K/XP，大小只有34 bytes，下面是其原理及實現代碼；

今天來做個 "程式碼快速簡轉繁"的動畫

雖然是個小技巧，但卻十分好用

進入正題.....

從對岸抓下來的程式碼  都是亂碼

首先呢

1.先把語系修改成Taiwan 然後存檔


2.利用馴碼快手中文化資源 & 程式碼(可以用自己熟悉的中文化工具)

3.翻譯大陸用語

4.Done  OK  這樣就快速轉換完畢囉

By Kost0911  2011.9.12  下次見囉~BYE

動畫地址：http://cn.ziddu.com/download/618502/CodeCnToTw.rar.html

慣例的PEiD查下殼，VC6 無殼  成功的第一步

這題真的是要靠提示才想到的解答

Lucky Seven就是個關鍵提示

這題其實破的有點技術犯規，因為前提是如果沒原檔對照就沒轍拉~

方法如下：

前言：

今天遇到個.NET的程式，以前一直都沒碰到過，今天遇上了就來對他做個分析吧!

前言：最近剛跟朋友拿到Hit2010的Wargame  裡面有CrackMe系列的原始檔

看了幾個發現非常的有趣，手癢就來分析一下，這是針對Window CrackMe系列的第一題

前言：之前用了個能自動美化VB的Skin，用的挺爽

但今天突然想美化VC，卻臨時找不到Skin來用

這是一款專門用來直接從記憶體內抓Flash的軟體，非常的實用

經測試能抓到被 "加密過的Flash檔案" ，當然這絕不是為他打廣告

前言：
    “知者不言，言者不知” 

官網：台灣駭客年會 HIT2011

一年一度難得的盛會又來囉!!!

對岸一篇質量非常高的

頗析虛擬機檢測技術，共計6種檢測

一本關於PE檔案格式非常好的原文著作

我翻譯成繁中化供大家學習囉

下面是關鍵代碼，可以查找斷開 PsLoadedModuleList 鏈的驅動，比如 某Np開頭的遊戲保護

PDIRECTORY_BASIC_INFORMATION    pDriverBuffer = NULL;

當系統載入一個驅動時，會為這個驅動建立一個_KLDR_DATA_TABLE_ENTRY結構體，DRIVER_OBJECT結構體的DriverSection成員指向這個結構體。以下是WRK中_KLDR_DATA_TABLE_ENTRY結構體的定義：

最近幾天學習了下檔案過濾驅動, 這方面的資料確實很少
這篇文章是我這幾天學習的總結, 特此貼出來供大家一起學習,

共享軟體是目前世界上軟體業比較熱門的話題，國內更是如此。成千上萬的程式師以極大的熱情投入到這個領域來，都憧憬著用辛勤的勞動獲得豐厚 的回報；但，實際並非如此，絕大多數的人都鎩羽而歸。值得注意的是：除了軟體設計和技術上的原因外，最大的原因就是共享軟體被破解（Crack）了……

　　面對破解

以前總想知道 IDA 是否能夠實現內核調試，後來找了一段時間沒什麼結果就暫時放棄了。 今天在國外的一個博客上偶然看到了用 IDA 實現內核調試的方法，其實現在國內也有很多文 章介紹了 IDA 通過串口進行調試的文章，如果大家想看的話可以搜索下。

2011.5.29測試有效

【提示】能加驅動進內核，就沒必要弄EXE了，所以我個人覺得沒啥實際用途，僅供觀看

通常網路密碼驗證過程是這樣的：用戶端在獲取使用者輸入的用戶名和密碼資訊之後創建socket通訊端與遠端伺服器建立一個連接，發送用戶名和密碼並等待伺服器返回消息，伺服器收到用戶名和密碼之後查詢伺服器資料庫，如果用戶名密碼正確返回給用戶端一個登錄成功消息，否則返回一個密碼錯誤的消息！ 
 

前段時間我們學校的的網路總是出現掉線的問題，後來說是ARP欺騙，要我們用ANTIARPSNIFFER。小弟不才，

下面談到了一些在學習解密過程中經常遇到的問題，本人根據自己的經驗簡單給大家談一談。這些問題對於初學者來說常常是很需要搞明白的，根據我自己的學習經歷，如果你直接照著很多破解教程去學習的話，多半都會把自己搞得滿頭的霧水，因為有很多的概念要麼自己不是很清楚，要麼根本就不知道是怎麼一回事，所以希望通過下面的討論給大家一定的幫助： 

前  言  
細細回憶,學習Crack技術已經快2個月了,期間我學會的東西遠比我以前任何一年內學的東西都多(專指電腦程式及系統瞭解情況)  

學習重定位程式非常棒的範例

網上很多文章都有關於SSDT的完整的實現，但是沒有關於Shadow SSDT的完整實現，目前最好的文章是《shadow ssdt學習筆記 by zhuwg》，我這裡的程式也很多參考了他的文章，在這裡謝謝了。我這裡給出一個hook shadow ssdt的完整實現的驅動和3層的代碼。

其實這東西很多大牛多玩膩了的東西，看下論壇上比較少這類的，就來獻獻醜，科普一下 大牛們直接
可以飄過，這東西主要是自我複習一下OBJECT的一些知識，技術這東西久了不弄容易忘記，所以

【文章標題】: 關於時間限制的拆除
【文章作者】: kanghtta

【文章標題】: 虛擬桌面技術的初步探討  
【文章作者】:  newjueqi  

Sandboxie 註冊演演算法分析

【文章作者】: uuk

自己花了2天的時間製作   純VB6打造的

轉貼至:http://waytorich.net/archives/506

很多加入“通路王”的朋友並不知道該如何開始經營，用寫的太多太複雜，就用畫的吧！希望對那些想靠Blog賺錢的朋友能有點幫助。如果有疑問的話也歡迎提問，我會盡可能的回答的！

Windows系統是建立在事件驅動的機制上的，說穿了就是整個系統都是通過消息的傳遞來實現的。而鉤子是Windows系統中非常重要的系統接口，用它 可以截獲並處理送給 其他應用程序的消息，來完成普通應用程序難以實現的功能。鉤子可以監視系統或進程中的各種事件消息，截獲發往目標窗口的消息並進行處理。這樣，我們就可以 在系統中安裝自定義的鉤子，監視系統中特定事件的發生，完成特定的功能，比如截獲鍵盤、鼠標的輸入，屏幕取詞，日誌監視等等。可見，利用鉤子可以實現許多 特殊而有用的功能。因此，對於高級編程人員來說，掌握鉤子的編程方法是很有必要的。

來份聖誕大禮~!!

搞了一下午的成果  第一次逆驅動  還是直接用KD逆的 

本文主要講的是怎樣隱藏一個dll模塊，這裡說的隱藏是指，dll被加載後怎樣使它 用一般的工具無法檢測出來。
為什麼要這麼做呢？

我們今天一起來彙總看看IRP HOOK的方法。又是長篇大論，別著急，慢慢看。談到irp攔截，基本上有三種方式，一種是在起點攔截，一種是在半路攔截，一種是在終點攔截。 下面我們會詳細分析這幾種方式哪些是有效的，哪種是無效的。 要理解這幾種攔截，我們需要看看irp地傳送過程。我們看下圖的標準模型。請看大屏幕。
8.JPG

仿照了下360 的過濾架構，搭建了個Hook 框架，360的Hook架構的確很優秀，我覺得很值得我們學習與研究。這裡我按照大牛們已經逆向出來的思路實現了下代碼(都逆向出來了坐下代碼工作不會怎 麼樣吧？….只是學習架構)。不要鄙視我等代碼工………，好吧大牛們想BS就BS吧，我表示毫無壓力~~~~，我是菜鳥我怕誰!

異步過程調用(APCs) 是NT異步處理體系結構中的一個基礎部分，理解了它，對於瞭解NT怎樣操作和執行幾個核心的系統操作很有幫助。

今天和大家分享一個小心得，想必很多高手已經玩膩了~飄過吧！
最近接觸了不少遊戲保護，它們或多或少的都有一個特製就是在被調試機上運行遊戲以後調試機上的WINDBG就接受不到信息了。起初我也困惑的很，而且在驅動當中設置int 3斷點會藍屏。後來在一個應用程序中添加了

先廢話,當初是為了繞開NP對sysenter保護而想出來的,

後來發現連RootkitUnhooker都繞了.

SSDT即System Service Dispath Table，它是一個表，這個表中有內核調用的函數地址。
KeServiceDescriptorTable：是由內核（Ntoskrnl.exe）導出的一個表

IDT Hook是一個非常簡單的東東。這裡我們不討論IDTR，中斷處理過程等東西。

以後有時間補上（假如我有時間的話）。

最近在編寫內核驅動時出現因缺頁中斷被屏蔽而導致CPU佔用100%，不得不重啟的現象。
SoftICE中顯示的信息是： 

  其實所有的HOOK，都基本是一樣道理。就是勾住你的目標函數，實現你自己的功能。只要你掌握了，HOOK的原理。剩下的就是尋找目標函數了。

     今天回憶一下 HOOK SYSENTER，目的當然還是繼續充實自己的BLOG，繼續灌水。

首先製作作弊器我們要用到以下一些東西
　　1 VC++6.0 編程工具