期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到9篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
从MBR出发列出所有分区的物理扇区位置和类型
1
作者 pixiebox 《黑客防线》 2008年第9期81-83,共3页
对于系统底层程序员来说,如果想开发能够直接搜索磁盘来寻找隐藏文件,或寻找磁盘的引导分区是否受到ROOTKIT感染,或想开发磁盘保护工具,或BOOTKIT,所要面对的首要任务就是从底层确定各个磁盘分区的物理位置.哪一个是引导分区,以... 对于系统底层程序员来说,如果想开发能够直接搜索磁盘来寻找隐藏文件,或寻找磁盘的引导分区是否受到ROOTKIT感染,或想开发磁盘保护工具,或BOOTKIT,所要面对的首要任务就是从底层确定各个磁盘分区的物理位置.哪一个是引导分区,以及每一个引导分区文件系统的确认等。本文要为大家介绍的就是如何从分区表出发列出所有的主分区、扩展分区和文件系统的类型。 展开更多
关键词 引导分区 物理位置 物理扇区 类型 MBR ROOTKIT 磁盘分区 文件系统
原文传递
编程实现Ring0下恢复所有模块导出函数的inline hook驱动
2
作者 pixiebox 《黑客防线》 2008年第10期70-73,共4页
在驱动中,inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE,使函数能够在执行前或执行后跳转到它们的处理代码中.达到所期望的目的。如果我们将这些inlinehook代码... 在驱动中,inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE,使函数能够在执行前或执行后跳转到它们的处理代码中.达到所期望的目的。如果我们将这些inlinehook代码恢复.它们的功能就会全部失效,而本文的目的就是让所有模块的导出函数(EAT中的函数)恢复成原来的样子,只要能够获取到未导出函数的地址(比如我们可以从KiSerViCeTabIe中获取未导出的sSDT函数地址),就可以将这个函数恢复到原来的代码。 展开更多
关键词 导出函数 模块函数 hook 驱动 ANTIVIRUS ROOTKIT 编程 CODE
原文传递
恢复RingO下的IAT与EAT hook
3
作者 pixiebox 《黑客防线》 2008年第11期80-85,共6页
windows系统核心中的Rootkit,以及Antirootkit、Antivirus很多都Hook了IAT和EAT tabIe,比如卡巴斯基、gmer等,同时它们又实现了恢复功能,比如IceSword、rootunhooker等。本文我们就将实现这个功能,让我们对Anti rootkit有进一步的... windows系统核心中的Rootkit,以及Antirootkit、Antivirus很多都Hook了IAT和EAT tabIe,比如卡巴斯基、gmer等,同时它们又实现了恢复功能,比如IceSword、rootunhooker等。本文我们就将实现这个功能,让我们对Anti rootkit有进一步的了解。 展开更多
关键词 编程 IAT EAT 卡巴斯基
原文传递
编程实现恢复IofcompleteRequest Hook(pixiebox)
4
作者 pixiebox 《黑客防线》 2008年第11期86-88,共3页
IoCompleteRequest在驱动编程中是一个经常用到的函数,因其特殊性,使其成为了R00tkitHook的主要对象,也使其成为了Antirootkit软件必然会检查并直接恢复它(不允许用户具有选择权,IceSword就是这样做的,主要因为如果不直接第一时... IoCompleteRequest在驱动编程中是一个经常用到的函数,因其特殊性,使其成为了R00tkitHook的主要对象,也使其成为了Antirootkit软件必然会检查并直接恢复它(不允许用户具有选择权,IceSword就是这样做的,主要因为如果不直接第一时间恢复的话, 展开更多
关键词 编程 hook恢复 IoCompleteRequest 软件
原文传递
直接调用NTFS文件驱动检测隐藏文件
5
作者 pixiebox 《黑客防线》 2008年第9期71-75,共5页
如果不考虑直接读取扇区分析文件系统来检测隐藏文件的话,那么直接向建立在卷设备驱动上的文件系统驱动发送IRP是在文件系统上最底层的检测方法了。lceSword(不考虑FileReg这个插件)就是直接向最底层的文件驱动发送IRP来检测隐藏文... 如果不考虑直接读取扇区分析文件系统来检测隐藏文件的话,那么直接向建立在卷设备驱动上的文件系统驱动发送IRP是在文件系统上最底层的检测方法了。lceSword(不考虑FileReg这个插件)就是直接向最底层的文件驱动发送IRP来检测隐藏文件的,这种检测方法使我们能够检测出SSDTHOOK、文件过滤驱动所隐藏的文件。在上期的文章中, 展开更多
关键词 隐藏文件 设备驱动 NTFS文件 检测 调用 文件系统 直接读取 过滤驱动
原文传递
打造自己的NTFS文件粉碎机
6
作者 pixiebox 《黑客防线》 2008年第7期96-100,共5页
对于入侵他人电脑的人来说,消除自己在肉鸡上留下的文件数据是非常重要的。既然Windows提供的文件操作API并不能彻底删除文件,那么我们就自己动手从文件系统出发,打造一款可以彻底删除文件的工具吧。本文仅针对NTFS文件系统,至于FA... 对于入侵他人电脑的人来说,消除自己在肉鸡上留下的文件数据是非常重要的。既然Windows提供的文件操作API并不能彻底删除文件,那么我们就自己动手从文件系统出发,打造一款可以彻底删除文件的工具吧。本文仅针对NTFS文件系统,至于FAT文件系统,大家可以在此基础之上自行扩展。 展开更多
关键词 NTFS文件系统 删除文件 MFT 文件记录
原文传递
inline hook IE所有版本穿越软件防火墙
7
作者 pixiebox 《黑客防线》 2008年第8期67-69,共3页
2008年第1期黑防((植入执行文件穿越软件防火墙》一文中介绍了一种在任意PE文件中增加一个执行节,然后改变执行文件的执行点来调用这个执行节的代码。在执行代码中搜寻Kernel.dll的内存位置,在建立了一个用于自己的网络连接的线程... 2008年第1期黑防((植入执行文件穿越软件防火墙》一文中介绍了一种在任意PE文件中增加一个执行节,然后改变执行文件的执行点来调用这个执行节的代码。在执行代码中搜寻Kernel.dll的内存位置,在建立了一个用于自己的网络连接的线程后,再将执行权返回给执行文件原来的执行点的方法。因为改变了执行文件的执行入口点,就有了典型的病毒特性, 展开更多
关键词 编程 inline HOOK IE
原文传递
调用Disk驱动读取扇区的驱动实现
8
作者 pixiebox 《黑客防线》 2008年第8期69-73,共5页
本文主要描述了一个从获取核心驱动的DriverObject开始.到调用核心驱动的Dispatch函数完成获取数据的过程。它是一个驱动程序开发者必须了解的基本知识.每一个驱动开发者都应该了解每一个调用函数的原理和实现.不然开发的驱动程序就... 本文主要描述了一个从获取核心驱动的DriverObject开始.到调用核心驱动的Dispatch函数完成获取数据的过程。它是一个驱动程序开发者必须了解的基本知识.每一个驱动开发者都应该了解每一个调用函数的原理和实现.不然开发的驱动程序就会出现不稳定的因素. 展开更多
关键词 编程 驱动 DRIVER OBJECT
原文传递
RootkitRevealer揭露NTFS下的隐藏文件
9
作者 pixiebox 《黑客防线》 2008年第8期78-82,共5页
RootkitRevealer是一个不错的Windows底层系统分析工具,但并不像其作者所说的“理论上才可能有R00tkit躲避它的分析“。事实上,要躲避它的分析,实现起来并不是很难,我们只要知道它的实现原理就OK了。如果RootRevealer的作者能够公... RootkitRevealer是一个不错的Windows底层系统分析工具,但并不像其作者所说的“理论上才可能有R00tkit躲避它的分析“。事实上,要躲避它的分析,实现起来并不是很难,我们只要知道它的实现原理就OK了。如果RootRevealer的作者能够公布软件的源代码就好了,因为它是很好的学习Registry hive data和NTFS文件系统的资料,很可惜它是个黑盒子。 展开更多
关键词 编程 NTFS文件系统 ROOTKIT
原文传递
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
使用帮助 返回顶部