驱动中获取进程名的正确方法

2013-12-16 Nie.Meining Coding

这是个古老的话题,没有技术含量,只不过看到很多驱动代码在取进程总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人

这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱

咱们可以做个实验,随便打开一个程序,比如记事本notepad.exe。然后看看ImageFileName:

procname1.png

阅读全文>>

评论(2) 浏览(31094)

在Win7中删除系统文件(编程实现)

2012-11-24 Nie.Meining Coding

在Win7中编程实现删除系统文件分四步:

1. 提升本进程的权限(取得SeTakeOwnershipPrivilege权限);

2. 取得文件所有者权限;

3. 取得文件删除权限;

4. 删除文件(调用 DeleteFie 函数);

 

具体代码实现如下:

1. 提升本进程的权限(取得SeTakeOwnershipPrivilege权限):

BOOL GetTakeOwnershipPrivilege()

阅读全文>>

评论(5) 浏览(12874)

API获取硬盘序列号

2012-3-28 Nie.Meining Coding

某东西需要获取硬盘序列号,在网上找了找,发现貌似没有直接的API可以做这个事,直接DeviceIoControl什么的兼容性也不太好,最后通过WMI实现了,代码贴出来,给有需要的童鞋:

//#include <Windows.h>
#include <tchar.h>
#include <comdef.h>
#include <Wbemidl.h>

#pragma comment(lib, "wbemuuid.lib")

阅读全文>>

评论(4) 浏览(15419)

发一份主动防御代码,32位和64位

2012-2-27 Nie.Meining Coding

算是个雏形吧,界面很丑,拦截的函数也不够多,不过框架是完整的,很容易扩展。
几个月前写的,本来想完善一下再放出来,但是发现最近实在没时间弄了。

截两个图:
点击查看原图点击查看原图

阅读全文>>

评论(141) 浏览(67773)

Hook KiFastCallEntry监控系统调用

2011-12-21 Nie.Meining Coding

这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。

这个程序是我本科毕设中的一部分,本来接下来还要从监控结果中提取行为序列去检测恶意代码,不过那部分实现比较挫,不好意思发了。

这个程序监控系统调用时可以创建新进程,也可以attach到已有进程,不过记录的内容很粗糙,不想细改了。


注意事项:

1、由于本程序在 Hook KiFastCallEntry 时和360安全卫士Hook了同一个地方,所以在装有360的电脑上会做一些特殊处理。这将导致本软件运行过程中360会暂时无效,关闭本软件后360恢复;

2、一年前写的了,只测试过xp,说不准在win7下会闹哪样,也说不准会跟别的安全软件有什么冲突,懒得测试了。

阅读全文>>

评论(0) 浏览(34934)

Powered by emlog