驱动级键盘记录器,关键是在Ring0下取得当前窗口名

2010-1-26 Nie.Meining Coding

键盘记录要想强悍还是得加驱动,否则别人稍有防范就没法突破了,想Windows登陆密码之类更是痛苦,没有太大意义。
驱动级键盘记录主要问题是取得当前窗口名,否则记下来的东西太乱了……
尝试着做了一下,昨天搞了一天,终于找到个很稳定的方法,还是挺有意义的。

阅读全文>>

评论(0) 浏览(25830)

在任务管理器里隐藏窗口的最简单方法

2009-12-30 Nie.Meining Coding

逆向发现,任务管理器会使用InternalGetWindowText得到窗口名,如果窗口名是Program Manager的话就不显示:

push    offset aProgramManager ; "Program Manager"

lea     eax, [ebp+String1]

push    eax             ; lpString1

call    ds:lstrcmpiW

test    eax, eax

jz      loc_100DD1D

阅读全文>>

评论(0) 浏览(2993)

ring0注入ring3的一种新方法

2009-12-29 Nie.Meining Coding

插APC越来越不好使了,想到了一种新的方法,实践了一下,发出来与大家分享。
其实要注入ring3的进程,本质上只是想要借用该进程中的某一个线程来执行一段其它代码而已,再透彻一点讲只是要借用一下某个线程的eip来暂时指向我们想让它执行的代码。当然,用完过后要想办法让eip能回到原位,这样就不会对该ring3线程本身的工作产生干扰。

具体来讲可以这样做:
1、先在要注入的进程中找到一个没有退出的,并且没有被挂起的用户线程。(其实如果找被挂起的还省事一点,就是等的时间长了点,要等它resume过后,注入的代码才会被执行。这里以挂起的为例)

2、挂起该线程。这是为了防止它被调度,因为我们要修改它的EIP。但是KeSuspendThread是没有导出的,需要自己实现。(附件的示例代码中是通过查找特征码来做的)

阅读全文>>

评论(4) 浏览(5630)

假蓝屏,伴奏版

2009-12-24 Nie.Meining Coding

来自核心的祝福,祝大家圣诞节快乐!
Beep伴奏是从 玩命 的代码里抄来的,伪蓝屏是从DrawOnScreen里摘出来的。
给大家用来追MM,嘿嘿~~
按ESC键可退出程序,截图如下:

 

阅读全文>>

评论(0) 浏览(14031)

OACR 太智能了

2009-12-23 Nie.Meining Coding

点击查看原图

阅读全文>>

评论(0) 浏览(23664)

Powered by emlog