彻底改掉进程名

2009-8-24 Nie.Meining Coding

写了个改进程名的东西,跟大家分享!
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):
一、EPROCESS中:
    1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
    2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地方,NtQueryInformationProcess就是从这里获取进程名的)
    3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName(RKU获取进程名的方法)
    4、VAD(记录用户空间内存分配情况的数据结构,里面当然有进程的exe模块)

二、PEB中:

阅读全文>>

评论(2) 浏览(14571)

鼠标修复软件开源

2009-8-21 Nie.Meining Coding

代码中的注释抄过来当简介了:

/*******************************************************************************************

* MouseRepairExp 2.0 (sys part)

*

*

* What's new:

*

支持了鼠标的动态加载、卸载,修复了程序运行期间插拔其它USB设备会蓝屏的BUG

阅读全文>>

评论(0) 浏览(23350)

获取IP地址的另一种方法(逆向GetIpAddrTable习得)

2009-8-17 Nie.Meining Coding

由于工作需要,想实现不调用任何函数获取IP地址,于是把GetIpAddrTable函数逆了,发现它是向\device\tcp查询ip实现的,进一步逆向进行不下去了(水平有限)。
模拟其实现写了段获取IP的代码,虽然不知道有什么用,还是跟大家分享一下吧:

#include <windows.h>

#include <stdio.h>

//By Fypher

//http://hi.baidu.com/nmn714

int main() {

阅读全文>>

评论(0) 浏览(13504)

BT代码

2009-8-12 Nie.Meining Debug

玩具如下:

//only on Windows XP

//Visual Studio 2008 Debug -MDd

//By Fypher

int main(){

    long long fypher=28550371734350199LL;

    (*(void(*)(long long*))270853328)(&fypher);

}

阅读全文>>

评论(0) 浏览(12288)

Hook ObReferenceObjectByHandle的另一种框架

2009-8-7 Nie.Meining Coding

看到过几次hook ObReferenceObjectByHandle的代码,总感觉过程非常纠结,不停hook了又恢复,恢复了又hook,在几个函数间来回跳。
今天下午尝试写了个不那么纠结的框架,跟大家分享:

#include <ntddk.h>

//Hook ObReferenceObjectByHandle

//by Fypher

//http://hi.baidu.com/nmn714

unsigned char OriginalBytes[5]={0};

阅读全文>>

评论(0) 浏览(14286)

Powered by emlog