用DETOURS库获取NT管理员权限
2007-1-27 16:07:26 阅读261 评论1 272007/01 Jan27
用DETOURS库获取NT管理员权限
陈志敏
---- Detours是微软开发的一个函数库(源代码可在http://research.microsoft.com/sn/detours 免费获得), 用于修改运行中的程序在内存中的影像,从而即使没有源代码也能改变程序的行为。具体用途是:
拦截WIN32 API调用,将其引导到自己的子程序,从而实现WIN32 API的定制。
为一个已在运行的进程创建一新线程,装入自己的代码并运行。
---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户即可成为系统管理员(在NT4 SP3上)。
著名黑客组织
2006-11-14 1:55:15 阅读200 评论0 142006/11 Nov14
安全焦点
http://www.xfocus.net/
1999年8月26日由xundi创立,创始人还有quack和casper。后来stardust,isno,glacier,alert7,benjurry,blackhole,eyas,flashsky,funnywei,refdom,tombkeeper,watercloud,wollf等人也加入了近来。站点主页风格一向是很简单。而该组织目前已经成为国内最权威的信息安全站点,也是最接近世界的一个国内组织。
目前国内一些技术性比较强的文章都由作者亲自提交到该网站,而国内一些知名的技术属一属二的高手都会去这里的论坛。讨论技术的氛围还可以。而且一些网络安全公司也关注这里的论坛。现在流行的著名扫描工具x-scan的作者就是该组织的成员。
从2002年开始,每年都举办一
NDIS编程资料
2006-11-13 22:07:29 阅读212 评论0 132006/11 Nov13
<>
[ 1] Simple NDIS Hooking Based Firewall for NT4/2000 http://ntdev.h1.ru/ndis_fw.html http://ntdev.h1.ru/ndis_fw.zip [ 2] Simple TDI
绕过缓冲溢出防护系统
2006-11-13 21:48:58 阅读88 评论0 132006/11 Nov13
<> --------------------------------------------------------------------------------
阅读: 时间:2004-11-2 7:57:39 来源:黑客基地 编辑:古典辣M°
文章翻译:SystEm32[ITS]
phrack62 Bypassing_Win_BufferOverflow_Protection
--[目录
1-介绍
2-栈回溯
3-躲避内核Hooks
3.1-内核堆栈回溯
3.2-伪造堆栈栈帧
4-躲避用户态Hooks
4.1-执行问题-不完全的API Hooking
4.1.1-未能Hooking所有的API版本
--------------------------------------------------------------------------------
阅读: 时间:2004-11-2 7:57:39 来源:黑客基地 编辑:古典辣M°
文章翻译:SystEm32[ITS]
phrack62 Bypassing_Win_BufferOverflow_Protection
--[目录
1-介绍
2-栈回溯
3-躲避内核Hooks
3.1-内核堆栈回溯
3.2-伪造堆栈栈帧
4-躲避用户态Hooks
4.1-执行问题-不完全的API Hooking
4.1.1-未能Hooking所有的API版本
windows虚拟内存地址分配
2006-11-8 12:17:55 阅读399 评论2 82006/11 Nov8
在进行下一步前,先让我们探讨一下关于Windows NT/2000的内存结构。NT/2000的
每一个进程都在启动时分配了4GB(0xFFFFFFFF)的虚拟内存。其中的某些部份实际
上是由所有进程共享的,例如核心和设备驱动程序区域。但它们都会被映射到每个
百度如何优化
2006-11-4 11:59:53 阅读52 评论0 42006/11 Nov4
以下是我对百度优化的一些心得,希望对大家能起到一点启发及引导作用。由于水平有限,不当之处还请各位大侠指正,先行谢过!
好了,进入正题。经过几次与百度的正面对话,了解到,百度是严禁使用优化手段提高网站排名。(注意:他们是说禁止优化,并不是禁止作弊!不管他的目的是什么,做好排名依然是我们的工作)以下是我总结的一些被百度认为是优化的手段:
(1) Title,众所周知,是决定排名的一个非常重要的因素。当然,百度不是白痴,所以,他们也会根据Title的写法来给你的网站判刑。尽管如些,我们还是可以在此做做文章。我们选择的关键字毫无疑问地放在最前面,但此处关键字出现的次数不能大于2,而且最好是一些描述性文字,而不是单纯的关键字堆砌。以下是我写过的一个Title,主关键字是“小游戏”:
<title>
轻松解决Visual Studio2005 开发环境遇到的几个疑难杂症问题
2006-11-4 11:32:25 阅读111 评论0 42006/11 Nov4
进入"%programfiles%\Microsoft Visual Studio 8\Common7\IDE"
???快捷键失效,弹出不能打开"C:\Documents and Settings\<user>\My Documents\Visual Studio 2005\Settings\currentsettings.vssettings;"等等错误显示""
执行
devenv.exe /resetuserdata
[以太网接口(毕业设计)]TCP/IP协议介绍
2006-11-1 21:08:24 阅读486 评论0 12006/11 Nov1
TCP/IP协议栈
(按TCP/IP参考模型划分)
| 应用层 | FTP | SMTP | HTTP |
在驱动中暴露,连接符号链
2006-10-31 13:38:30 阅读62 评论0 312006/10 Oct31
UNICODE_STRING deviceNameUnicodeString; \
WCHAR deviceLinkBuffer[] = L"\\DosDevices\\"##DriverName; \
UNICODE_STRING deviceLinkUnicodeString; \
\
RtlInitUnicodeString (&deviceNameUnicodeString, deviceNameBuffer); \
ntStatus = IoCreateDevice (DriverObject, \
从今天开始研究驱动方面的保护技术
2006-10-31 13:37:15 阅读93 评论0 312006/10 Oct31
| 从现状来看,有将开始一些新的斗争,这场斗争还是关于病毒和反病毒的,从5年前到现在一些木马程序还是披着陈旧的外套在存活着,但Av公司门和编程爱好者都好像疲倦了(包括我在内),可以说之前的木马程序根本算不上真正意义上的病毒(我从木马开始的存在的时候都不这么认为),因为他都只是在ring3层上运行的东西,谈不上更深的技术可言,如果你是从dos时代开始写代码的人可能和我的心情是一样的,时代不同了windows当道,但是也阻挡了我们不少通往深处的道路,但是就算这样我们还是可以通过驱动技术达到我们的目的,在dos我们可以直接修改内存中的中断地址来达到拦截某些功能的 |