今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧!
#include "stdafx.h"
#include
#include
#pragma comment(lib,"Advapi32.lib")
BOOL Ring3ProtectProcess()
{
HANDLE hProcess = ::Get...
分类:
其他好文 时间:
2014-05-10 09:31:43
阅读次数:
461
Drupal使用_theme_build_registry()和_theme_process_registry()两个函数构建theme
registry。theme registry是theme hook的集合组数。这里以practice模块定义两个theme hook为例,说明一下theme
r...
分类:
其他好文 时间:
2014-05-08 20:39:16
阅读次数:
418
8.2.2 操作ELF格式文件的方法
综合以上的描述,总结执行ELF格式文件的方法,步骤如下:
(1)从文件起始位置读取一个struct elf32_ehdr结构体,验证文件的正确性以及文件与操作系统是否匹配。
(2)找到该结构体中e_entry成员,从系统中获得这个值所指向的内存地址。
(3)读出struct elf32_ehdr结构体中的e_phoff、e_phextsize以及e_...
分类:
其他好文 时间:
2014-05-08 00:30:22
阅读次数:
845
8.2.3 运行ELF格式的应用程序
首先我们需要提供一些与ELF格式有关的宏定义。
代码8-7
#define ELFCLASSNONE 0 #define ELFCLASS32 1 #define ELFCLASS64 2 #define CHECK_ELF_CLASS(p) ((p)->e_ident[4]) #define...
分类:
其他好文 时间:
2014-05-08 00:29:22
阅读次数:
465
LF指的是Executable and Linkable Format。最初是由UNIX系统实验室作为应用程序二进制接口开发和发行的,后来逐渐发展成为了可执行文件的格式标准,在很多操作系统和非操作系统环境中都有非常广泛的应用。完整的ELF格式标准涉及了三个方面的内容。在这里我们只需要关心一个方面,那就是一个ELF格式可执行程序的组成结构。
一个ELF可执行文件格式如图8-1所示。
像图8-1那...
分类:
其他好文 时间:
2014-05-08 00:16:58
阅读次数:
367
本节讲述代码分块(Bank)管理思想下可执行文件的重构,即对程序编译后的可执行文件进行重新组织、打包,以在加载阶段获得最高的执行效率,减少内存占用。要使执行效率高,意味着可执行文件的格式尽可能简单,解析执行文件的流程简单,相应地,解析过程代码量少,即能够减少内存的占用。...
分类:
其他好文 时间:
2014-05-07 07:11:49
阅读次数:
279
eshell是emacs shell的简称,是emacs自带的shell.开始设置的时候还在想是否要找到它的key map (eshell-mode-map?).
原来它是采用hook设置,如下所示
(add-hook 'eshell-mode-hook
(lambda ()
(local-set-key (kbd "C-j") 'switch-to...
分类:
其他好文 时间:
2014-05-07 05:25:39
阅读次数:
253
DescriptionIn the game of DotA, Pudge’s meat
hook is actually the most horrible thing for most of the heroes. The hook is
made up of several consecuti...
分类:
其他好文 时间:
2014-05-05 11:32:29
阅读次数:
288
几经挣扎,我最终还是选择了虚拟设备的方法来模拟Rockey2加密狗。HID.DLL劫持+API劫持的办法技术上虽然简单些,但太繁琐了,不仅要转发大量的函数,还要Hook好几个API,向我这么懒的人可干不了这体力活,几经取舍还是选择了虚拟设备的方法,原因有一下几点:1、劫持HID.DLL同样要分析描述...
分类:
其他好文 时间:
2014-05-04 19:48:14
阅读次数:
643
