通过call调用将返回地址压栈的方式，达到自身数据重定位，想出这法子的，绝对是大牛。早有看到，昨天突然想起来，实现一下。[......]

Read More »

作 者: sislcb

网上很多文章都有关于SSDT的完整的实现，但是没有关于Shadow SSDT的完整实现，目前最好的文章是《shadow ssdt学习笔记 by zhuwg》，我这里的程序也很多参考了他的文章，在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。

这里主要是hook 了NtUserFindWindowEx，NtUserBuildHwndList，NtUserQueryWindow，NtUserGetForegroundWindow，NtUserWindowFromPoint来防止其他应用程序通过FindWindow，EnumWindow，WindowFromPoint，GetForegroundWindow这些函数来枚举我们的窗口，不过这个程序对于GetWindowText这个东西无法防护，如果有朋友在驱动层实现了对该函数的保护，是否能一起交流呢。

关于hook的流程，看了上面zhuwg的文章，大家应该很好的了解了。下面的代码也很简单。大家随便看看吧，通信方面，随便使用了METHOD_NEITHER方法，这个方法不好，有问题，不过懒得改了，懂驱动的应该很容易改为BUFFERED模式吧。

在这里谢谢给了很多帮助的各位牛人，特别是NetRoc，很细心的帮我测试。。[......]

Read More »

好长时间没发过什么东西了，今天发一份注册表文件格式方面的资料。老外做学问还是蛮严谨的，论文写的还是清楚的，感觉不错分享一下，有需要的可以下回去看看。

注册表的重要性在Windows系统中应该属于存储核心，Windows系统重要的配置信息都存在其中。但注册表文件存储格式hiv微软一直没有公开过，[......]

Read More »

作者：Fypher

分析了一下“鬼影”病毒，从里面扒了段代码出来。

该段代码调用 ZwDebugSystemControl 在 Ring3 恢复 SSDT，并摘除
PsSetLoadImageNotifyRoutine、PsSetCreateProcessNotifyRoutine、
PsSetCreateThreadNotifyRoutine 三个钩子。

代码里 bug 较多，我用注释标示出来了，保留原味儿，未做修改。

逆向 by Fypher
http://hi.baidu.com/nmn714[......]

Read More »

Regular expressions are a language of their own. When you learn a new programming language, they’re this little sub-language that makes no sense at first glance. Many times you have to read another tutorial, article, or book just to understand the “simple” pattern described. Today, we’ll review eight regular expressions that you should know for your next coding project.[......]

Read More »