pvoid
- 删除UEFI固件中的Windows Boot Manager
-
做过系统安装的同学应该会注意到在UEFI系统会记录上次启动成功的磁盘并做为默认项,Windows下通常叫"WindowsBootManager",下次启动时自动从该启动项启动。这个大部分情况下是非常友好的,启动速度会快一些。不过有些时候安装完系统后不想让它从上次启动的项再次启动,...
- ObRegisterCallbacks 的装载和卸载
-
0x00前言随着windows系统安全不断加强升级,在windows7x64下推出了驱动程序强制签名和PatchGuard机制,使得通过hook技术实现进程保护的方法不再那么好用了,同时windows也推出了ObRegisterCallbacks回调函数以便于开发者实现进...
- DLL劫持目标应用软件实现注入 dll劫持explorer
-
原理:DLL注入技术,一般来讲是向一个正在运行的进程...
- .NET程序的 GDI句柄泄露 的再反思
-
一:背景1.讲故事上个月我写过一篇如何洞察C#程序的GDI句柄泄露文章,当时用的是GDIView+WinDbg把问题搞定,前者用来定位泄露资源,后者用来定位泄露代码,后面有朋友反馈两个问题:...
- 别再信任WDK离线帮助文档了! office2019离线帮助文档
-
近日用到驱动中获取wmi信息,依赖当年Windowsserver2003(3790)离线WDK文档,图个方便快速,结果踩坑!我们来看IoWMIQueryAllData函数,它是获取设备wmi信息的核心函数:NTSTATUSIoWMIQueryAllData(INPVOID...
- Ring3注入总结及编程实现 rcm注入器教程
-
原文首发:看雪论坛作者:隔壁雷哥在科锐一年有余,最近研究了下Ring3下面的各种注入姿势和防御姿势,特地整理了一下,为了练习一下开发所以就边学注入边实验,每学一种注入都用MFC或者汇编开发一个小工具加强印象,感觉可能一些新手朋友可能会用到,水平有限,如有错误,望大家多多赐教。...
- Windows API中的句柄(HANDLE)到底是什么?
-
学习过WindowsAPI编程的开发者都知道,WindowsAPI中有很多奇怪的数据类型,比如HANDLE,中文翻译为句柄,看看WindowsAPI函数CreateFile:HANDLECreateFile(LPCTSTRlpFileName,...
- iMonitorSDK 序列教程一 · 基础教程
-
iMonitorSDK(https://imonitorsdk.com/)一款为终端、主机提供系统行为监控的开发套件。旨在帮助终端安全、管控、审计、零信任、主机安全等行业应用可以快速实现必要功能,而不用关心底层驱动的开发、维护和兼容性问题,让其可以专注于业务开发。适用于下列场景:零信任、终端管控...
- 如何访问系统服务表 访问服务器怎么访问
-
SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表...
- Windows shellcode编写和提取细节
-
原创:EDI-VOID合天智汇0x00shellcode编写首先shellcode的编写可以用纯汇编也可以用c++,其两者难易程度可想而知,还是抱住VS的大腿,不过这其中要注意一些代码格式和编译选项,以确保生成的shellcode是地址无关的比如像如下代码都会被编译器优化,编译器会把字符串放在...