- 博客(24)
- 收藏
- 关注
RSS订阅原创 ZwQuerySystemInformation枚举模块问题分析
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
2024-09-30 13:31:42
859
原创 无DLL文件实现远程线程注入获取进程列表
虽然Kernel32.dll在不同进程的基地址一样,在Kernel32.dll中相同的函数名的函数在不同进程的地址也应该一样,但是不同进程的导入表地址不一样 ,我们在代码中直接调用一个系统函数,实际上是从导入表中去调用的,导入表在开启ASLR进程下就会发生变化,如何直接调用CloseHandle,是将你原进程里面导入表地址用到了远程进程里,自然就导致注入进程崩溃了。但在远程进程中,由于每个进程的导入表是不同的,CloseHandle 的地址可能并不指向目标进程中的正确位置。
2024-09-14 18:11:11
1080
转载 使用DLL进行远程线程注入,实现穿墙与隐藏进程
简介大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文件注入系统认可的正常进程,你会发现任务管理器以及找不到独立出现的恶意进程项了。反向连接型后门采用这种技术,注入防火墙认可的进程(例如大部分系统进程,像explorer.exe就很常见)还能够获得一定的穿墙效果。进程注入虽然已经是将近10年前的技术了,但是今天出现的很多新型黑客技术大多数还是基于这类老技术演变而来的。
2024-09-14 17:48:37
221
原创 Win xp\Win7\Win8\Win8.1\Win10\Win11 ISO下载
Win xp\Win7\Win8\Win8.1\Win10\Win11 镜像下载
2024-07-29 11:30:46
2470
1
原创 SMB协议简介
在了解永恒之蓝前需要先要知道什么是SMB,以及SMB连接过程发生了什么事情。SMB( Server Message Block ),服务消息块,是 IBM 公司在 80 年代中期发明的一种文件共享协议,电脑上的网上邻居就是靠它实现的 。它只是系统之间通信的一种方式(协议),并不是一款特殊的软件。
2024-06-05 18:01:21
3252
原创 进程完整路径获取方式底层实现剖析
解析GetProcessImageFileName和QueryFullProcessImageName、SeLocateProcessImageName函数,进程完整路径获取方式底层实现剖析
2024-01-30 15:54:40
1175
原创 枚举bound状态的网络连接信息
下面代码能够查询到处于bound状态的网络连接信息,包括本地ip、本地端口、远程ip、远程端口、进程id和套接字的状态。在 Windows 的“netstat”实用程序的较新版本中,有一个命令行选项“-q”,可显示已绑定但未连接的套接字。Windows 目前没有任何记录或支持的用于查询绑定连接的 API。有关此类套接字的输出如下所示。
2023-10-09 16:20:05
367
原创 ObQueryNameString蓝屏问题分析
根据_OBJECT_NAME_INFORMATION的结构看出,其内部就是一个UNICODE_STRING的结构 ,所以有人就直接把一个UNICODE_STRING结构的指针直接转换成了_OBJECT_NAME_INFORMATION作为参数传入,结果可想而知,当程序运行到这个位置就无情的死掉了。该函数只返回命名对象名称和拥有查询函数的对象名称,其他所有的对象都返回空结构。第四步.若用户提供的缓冲区大小不够,则返回STATUS_INFO_LENGTH_MISMATCH,并返回实际需要的缓冲区大小。
2023-09-18 16:08:26
276
原创 中文解释“GetLastError()返回值”---错误码大全
Windows API “GetLastError()返回值”---错误码大全
2022-07-19 15:25:51
14016
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人