鬼影里的ZwSystemDebugControl

2010-3-21 Nie.Meining Debug

/***************************************************************************************

*

分析了一下鬼影病毒,从里面扒了段代码出来。

*

该段代码调用 ZwDebugSystemControl  Ring3 恢复 SSDT,并摘除

* PsSetLoadImageNotifyRoutinePsSetCreateProcessNotifyRoutine

* PsSetCreateThreadNotifyRoutine 三个钩子。

*

代码里 bug 较多,我用注释标示出来了,保留原味儿,未做修改。

阅读全文>>

评论(0) 浏览(3291)

继续Ring0注入Ring3

2010-3-16 Nie.Meining Coding

查WRK时偶然发现有个RtlCreateUserThread的函数,声明如下:

NTSTATUS RtlCreateUserThread(

    IN HANDLE Process,

    IN PSECURITY_DESCRIPTOR ThreadSecurityDescriptor OPTIONAL,

    IN BOOLEAN CreateSuspended,

    IN ULONG ZeroBits OPTIONAL,

    IN SIZE_T MaximumStackSize OPTIONAL,

    IN SIZE_T CommittedStackSize OPTIONAL,

阅读全文>>

评论(0) 浏览(33240)

Powered by emlog