API获取硬盘序列号

2012-3-28 Nie.Meining Coding

某东西需要获取硬盘序列号,在网上找了找,发现貌似没有直接的API可以做这个事,直接DeviceIoControl什么的兼容性也不太好,最后通过WMI实现了,代码贴出来,给有需要的童鞋:

//#include <Windows.h>
#include <tchar.h>
#include <comdef.h>
#include <Wbemidl.h>

#pragma comment(lib, "wbemuuid.lib")

阅读全文>>

评论(4) 浏览(16008)

发一份主动防御代码,32位和64位

2012-2-27 Nie.Meining Coding

算是个雏形吧,界面很丑,拦截的函数也不够多,不过框架是完整的,很容易扩展。
几个月前写的,本来想完善一下再放出来,但是发现最近实在没时间弄了。

截两个图:
点击查看原图点击查看原图

阅读全文>>

评论(377) 浏览(108773)

QQ电脑管家中的 Hook 过程分析

2012-2-10 Nie.Meining Debug

最近对QQ电脑管家中的TsFltMgr.sys做了些分析,发现不少有用的东西,这里跟大家分享一下 TsFltMgr 对 KiFastCallEntry 的 Hook 过程。
虽然整个过程中并没有新的技术,但毕竟是面向市场的产品,从兼容性、安全性出发,工作过程中需要把问题考虑全面一些、处理问题时尽量细致,这些都是值得学习的地方。

我们从这个函数开始:

BOOLEAN StartWork()

{

    ULONG ulOsVersion;

阅读全文>>

评论(1) 浏览(15630)

QQ电脑管家中的TsFltMgr Hook框架分析

2012-2-6 Nie.Meining Debug

新版的QQ电脑管家中多了一个名字叫TsFltMgr.sys的驱动(应该是Sysnap大牛开发的,膜拜),对该驱动进行了一些简单的分析,看见了一套漂亮的Hook框架,发出来与大家分享。分析不对的地方请多多包涵。
 
首先TsFltMgr挂钩了KiFastCallEntry函数,Hook点在这里:

kd> u KiFastCallEntry+e3

nt!KiFastCallEntry+0xe3:

8053dbb3 c1e902        shr     ecx,2

-------------------------------------------------------------------------

阅读全文>>

评论(0) 浏览(4422)

Hook KiFastCallEntry监控系统调用

2011-12-21 Nie.Meining Coding

这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。

这个程序是我本科毕设中的一部分,本来接下来还要从监控结果中提取行为序列去检测恶意代码,不过那部分实现比较挫,不好意思发了。

这个程序监控系统调用时可以创建新进程,也可以attach到已有进程,不过记录的内容很粗糙,不想细改了。


注意事项:

1、由于本程序在 Hook KiFastCallEntry 时和360安全卫士Hook了同一个地方,所以在装有360的电脑上会做一些特殊处理。这将导致本软件运行过程中360会暂时无效,关闭本软件后360恢复;

2、一年前写的了,只测试过xp,说不准在win7下会闹哪样,也说不准会跟别的安全软件有什么冲突,懒得测试了。

阅读全文>>

评论(0) 浏览(35328)

Powered by emlog