最新 最热

驱动开发:内核枚举驱动内线程(答疑篇)

这篇文章比较特殊,是一篇穿插答疑文章,由于刚好在前一篇教程《驱动开发:内核枚举PspCidTable句柄表》整理了枚举句柄表的知识点,正好这个知识点能解决一个问题,事情是这样的有一个粉丝求助了一个问题,想要枚举出驱动中活动...

2022-11-18
2

驱动开发:内核特征码搜索函数封装

在前面的系列教程如《驱动开发:内核枚举DpcTimer定时器》或者《驱动开发:内核枚举IoTimer定时器》里面LyShark大量使用了特征码定位这一方法来寻找符合条件的汇编指令集,总体来说这种方式只能定位特征较小的指令如果特征...

2022-11-18
3

驱动开发:内核枚举Minifilter微过滤驱动

Minifilter 是一种文件过滤驱动,该驱动简称为微过滤驱动,相对于传统的sfilter文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器FilterManager提供接...

2022-11-18
2

驱动开发:内核特征码扫描PE代码段

在笔者上一篇文章《驱动开发:内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数,该定位函数其实还不能算的上简单,本章LyShark将对特征码定位进行简化,让定位...

2022-11-18
1

新160个CrackMe分析-第5组:41-50(上)

首先获取Name部分,Name长度需要大于等于5,这里分别取1345四个字符除以10保存到一个数组里

2022-10-12
2

新160个CrackMe分析-第4组:31-40(下)

Private Sub Text2_Change() '4024F0  Dim var_1C As Variant  loc_0040259D: If (Form1.Text2.Text = global_00401DC4) + 1 Then    // 如果输入的内容为空  loc_004025AA:   Se...

2022-09-23
3

新160个CrackMe分析-第4组:31-40(上)

到了上一层:看到的是个窗口过程函数,这里在比对消息码,这里弹窗往上有个DialogBoxParamA的调用,应该就是创建Register对话框的函数,所以跟进这里的窗口过程...

2022-09-23
2

新160个CrackMe分析-第3组:21-30(上)

在窗口过程里,发现保存编辑框内容的部分:根据控件ID判断哪个接收的是哪个值,然后这里会判断NAME需要大于3字节

2022-09-14
2

漏洞简述

本次漏洞分析实例是编号CVE-2006-3439,他是系统库NETAPI32.DLL中NetpwPathCanonicalize函数中出现的一个栈溢出漏洞,此函数主要对俩个字符串进行拼接,漏洞主要成因是函数内部对参数进行边界检查是使用了wcslen,而开辟栈的...

2022-08-25
2

淹没虚函数地址过GS保护(关闭DEP保护)

针对缓冲区溢出覆盖函数返回地址这一特征,微软在编译程序时使用了一个安全编译选项--GS, Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。在所有函数调用时,会向栈中压入一个DWOR...

2022-08-25
2