摘要: 关键词: 内核态 进程和端口关联 进程端口映射
//////////////////////////////////////////////////////////////////////////////////////////
// 作者 beiyu http://beiyu.bokee.com/
// 内核态实现进程和端口关联,在WINDOWS2000.xp,2003下可以用。
// 感谢Leven公布了他的代码,增加了区分tcp,udp,增加了操作系统的兼容性
// 可以在Windows 2000, xp, 2003下面正常使用,编译环境Win2000DDK
// 使用妳的sys loader加载,使用Dbgview查看
// 如果你有什么改进,请email我: beiyuly@gmail.com
//
/////////////////////////////////////////
阅读全文
posted @
2008-07-11 17:27 ViskerWong 阅读(849) |
评论 (0) |
编辑 收藏
把我的小马杀的真惨,特征码在导入表上定位了一大片,有将近20个,重构了一下导入表明显特征码少了很多,就剩2个了。可这两个特征码定位的地方.......
晕死我了。最后还是用了比较龌龊方法加了两次壳给搞定了。加壳后不用说,又被瑞星杀,看来只好写花了
posted @
2008-05-27 11:59 ViskerWong 阅读(575) |
评论 (2) |
编辑 收藏
摘要: 观察:穷人猛捐!我捐二万!富人及大机构仍没 (2008-05-15 00:50:26)
标签:文化
上网,看到灾区的照片及报道,心痛,再看到一些穷人捐至月工资的一半儿,再看到更穷的人献血捐献,更看到一些人因穷困捐不出钱而内疚,这都是一些令人感动的地方。
让我冷静下来,给大家分析一下,现实情况是这样的
阅读全文
posted @
2008-05-21 14:28 ViskerWong 阅读(715) |
评论 (1) |
编辑 收藏
摘要: 汶川地震,举国哀痛,正当9000名阿里巴巴集团的员工与全国人民一起,在尽自己的一切努力来帮助灾区人民时,竟遭受到大规模有组织的谣言攻击。这次攻击,不仅伤了每个阿里巴巴员工的心,更是利用了全国人民的爱国热情,伤害了所有用一颗热心赈灾救灾的企业和人民。对此阿里巴巴集团声明如下
阅读全文
posted @
2008-05-21 14:25 ViskerWong 阅读(170) |
评论 (0) |
编辑 收藏
摘要: 逆向工程不是炫耀者用来装B的工具,因为逆向工程从来就是个脑力活加体力活,同时也是对逆向者身心的极大摧残和对意志力的严峻考验。它需要时间,更需要毅力,任何半途而废的举动都会导致前功尽弃的结果。而这些成本我相信都是那些想要炫耀一时的浮躁者所不肯付出的。
阅读全文
posted @
2008-05-10 12:52 ViskerWong 阅读(432) |
评论 (1) |
编辑 收藏
摘要: Rolling Your Own
在这篇文章中我将描述如何自己构造IRP还有I/O管理器提供一些分配和管理IRPs的例程。
经常听到NT驱动程序开发者问的问题是如何在他们自己所驱动中执行一个I/O操作。这个问题可以总结为以下两点:当仅可用到一个文件对象但是ZwXXX例程需要一个文件句柄时如何处理I/O;为什么ZwCreateFile返回的句柄不能用在他们的驱动中。实际的问题是如何在他们的驱动中处理I/O操作,典型的在多线程上下文中。
阅读全文
posted @
2008-04-23 09:38 ViskerWong 阅读(632) |
评论 (1) |
编辑 收藏
摘要: 很多人都知道端口到进程映射的一个免费工具FoundStone的Fport,可惜他不提供源码,我试着能从其二进制文件中找出一些信息,大致知道他使用了些未公开函数 ,诸如: ZwOpenSection,ZwQuerySystemInformation... 但仅此之比较难弄懂其原理的。我的这个源码,得助于ilsy的名为《再谈进程与端口的映射》的文章 ,但他也没有提供源码,但已经将Fport的原理讲的很清楚了,在此我只是用源码将其实现了一下。在具体实现上与其有点不同,具体的原理可以参见ilsy的文章。
阅读全文
posted @
2008-04-21 11:01 ViskerWong 阅读(417) |
评论 (0) |
编辑 收藏
摘要: 对IP碎片的重组是防火墙提高安全性的一个重要手段,通过提前进行碎片重组,可以有效防御各种碎片攻击,Linux内核的防火墙netfilter就自动对IP碎片包进行了重组,本文介绍Linux内核中的IP重组过程,内核代码版本2.4.26。
阅读全文
posted @
2008-04-19 14:11 ViskerWong 阅读(861) |
评论 (0) |
编辑 收藏
摘要: 关于进程与端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.
fport.exe是由foundstone team出品的免费软件,可以列出系统中所有开放的端口都是由那些进程打开的.而下
面所描述的方法是基于fport v1.33的,如果和你机器上的fport有出入,请检查fport版本.
阅读全文
posted @
2008-04-19 14:09 ViskerWong 阅读(379) |
评论 (0) |
编辑 收藏
摘要: 内存映射文件有三种,第一种是可执行文件的映射,第二种是数据文件的映射,第三种是借助页面交换文件的内存映射.应用程序本身可以使用后两种内存映射.
阅读全文
posted @
2008-04-19 13:08 ViskerWong 阅读(6771) |
评论 (5) |
编辑 收藏