分析一个email病毒

2012-6-28 Nie.Meining Debug

某邮箱很久没登陆了,打开一看,收到一堆来自 jfkoofia@yahoo.com的病毒邮件:
点击查看原图

阅读全文>>

评论(0) 浏览(14860)

QQ电脑管家中的 Hook 过程分析

2012-2-10 Nie.Meining Debug

最近对QQ电脑管家中的TsFltMgr.sys做了些分析,发现不少有用的东西,这里跟大家分享一下 TsFltMgr 对 KiFastCallEntry 的 Hook 过程。
虽然整个过程中并没有新的技术,但毕竟是面向市场的产品,从兼容性、安全性出发,工作过程中需要把问题考虑全面一些、处理问题时尽量细致,这些都是值得学习的地方。

我们从这个函数开始:

BOOLEAN StartWork()

{

    ULONG ulOsVersion;

阅读全文>>

评论(1) 浏览(14637)

QQ电脑管家中的TsFltMgr Hook框架分析

2012-2-6 Nie.Meining Debug

新版的QQ电脑管家中多了一个名字叫TsFltMgr.sys的驱动(应该是Sysnap大牛开发的,膜拜),对该驱动进行了一些简单的分析,看见了一套漂亮的Hook框架,发出来与大家分享。分析不对的地方请多多包涵。
 
首先TsFltMgr挂钩了KiFastCallEntry函数,Hook点在这里:

kd> u KiFastCallEntry+e3

nt!KiFastCallEntry+0xe3:

8053dbb3 c1e902        shr     ecx,2

-------------------------------------------------------------------------

阅读全文>>

评论(0) 浏览(3828)

被dxgmms1.sys搞蓝了

2011-11-24 Nie.Meining Debug

Win7,32位,吃着早餐还看着片,突然就蓝屏了。加载dump文件看了下,IRQL_NOT_LESS_OR_EQUAL。

0: kd> kb

ChildEBP RetAddr  Args to Child            

926f4b14 842b49fc badb0d00 926f4bf8 badb0d00 nt!KiTrap0E+0x2cf

926f4b98 842b2553 84365d20 880c9cf8 88eab118 nt!KiSignalSynchronizationObject+0x15

926f4bc4 9517fe77 880c9cf8 00000000 00000000 nt!KeSetEvent+0x8e

926f4bf0 951814c8 00000000 926f4c18 951951df dxgmms1!VIDMM_GLOBAL::ProcessTerminationCommand+0x51

926f4bfc 951951df 884ae610 88eab118 88eab118 dxgmms1!VidMmiProcessTerminationCommand+0x10

阅读全文>>

评论(0) 浏览(24738)

实验室把迅雷整个站封了

2011-5-31 Nie.Meining Debug

前两天想离线下载个东西,发现打不开迅雷离线下载的页面了,而且迅雷官网、迅雷VIP什么的通通打不开了。
一开始还以为是迅雷官网的问题,今天简单测试了一下,发现不对劲。迅雷网站的DNS解析没有任何问题,tracert跟踪也没有任何断开的路径,甚至能telnet到迅雷80端口上。
进一步测试,尝试手动发包,发现HTTP请求包中,Host字段只要包含了xunlei字符串,就收不到返回包了。把Host字段中的迅雷域名换成IP地址就可以正常访问。网上搜了搜,没人骂联通,必然是实验室网管干的,太狠了,我刚办的年费会员啊……
为了验证,写了个改包的程序,拦截浏览器发出的HTTP包,将其中的Host字段替换成IP地址。果然成功打开了迅雷离线下载登陆页面……
不过貌似这样替换过后问题挺多的,很多网站打开不正常,或者是一片空白,或者是果断404。 

阅读全文>>

评论(0) 浏览(13222)

Powered by emlog