资源列表
IoPortDriver
- windows直接读端口的程序。对于开发驱动有很好的借鉴之处。
Memory
- 内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页目录。 Windows自己的ReadProcessMemory最终也是通过KeStackAttachProcess附加到目标进程空间执行拷贝的。但是中间的N个内核函数调用现在被很多保护系统Hook掉并保护起来了,所以要通过这层层关卡读到东西还是不那么简单的。
dog
- 机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
SSDTHook
- 对付ring0 inline hook的基本思路是这样的,自己写一个替换的内核函数,以NtOpenProcess为例,就是 MyNtOpenProcess。然后修改SSDT表,让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是,实现NtOpenProcess前10字节指令,然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了,在ring3直接调用OpenProcess再也毫无影响。
Delay_time
- 用C编写的微秒级精确延时DLL函数库,通过调用kernel32.dll的QueryPerformanceFrequency()、QueryPerformanceCounter()函数实现。
yingjianxinxi
- 获取系统硬件信息。取得系统的硬件详细信息
api
- 主要用于PB的api函数,开发者可以调用
WinService
- windows服务创建程序,非常适用。无需修改,直接添加自己的代码,可应用于各种需要windows服务的应用程序。
MySniff
- 一个简单的网络嗅探器的实现,希望大家喜欢.
touchscreen
- 一个简单的手写体程序,只能识别数字,是学习嵌入式触摸屏输入法的好的开端。编译通过!
setup
- windows的安装程序,打包安装的。这个是一个简易的安装过程程序
UndocumentedNT
- windows未公开资料的合集,经典书籍UndocumentedNT,后面有源代码