资源列表
ATA-ATAPI-5
- atapi5 协议,是对硬盘/光盘进行编程的规范性文档。目前很多硬盘加密的程序都是基于该文档协议进行实现的。
NCComplierDll
- 数控代码编译模块
ReadKML
- 自己写的读取kml的测试程序.可以会你们做这方面的工作有些用处.
Get_MacAddress
- 组装并利用winpcap提供的函数发送arp请求报文,分析捕获到的arp响应报文,从中得到的源MAC地址就是本地网卡的MAC地址。 在得到本机网络接口的MAC地址和其上绑定的IP地址后,程序以本地网卡的身份向以太网其他主机输入的目的IP地址发送arp请求,并截获其回应,通过解析其中的源MAC地址,可以得到该IP地址对应的MAC地址。
IoPortDriver
- windows直接读端口的程序。对于开发驱动有很好的借鉴之处。
Memory
- 内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页目录。 Windows自己的ReadProcessMemory最终也是通过KeStackAttachProcess附加到目标进程空间执行拷贝的。但是中间的N个内核函数调用现在被很多保护系统Hook掉并保护起来了,所以要通过这层层关卡读到东西还是不那么简单的。
dog
- 机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
SSDTHook
- 对付ring0 inline hook的基本思路是这样的,自己写一个替换的内核函数,以NtOpenProcess为例,就是 MyNtOpenProcess。然后修改SSDT表,让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是,实现NtOpenProcess前10字节指令,然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了,在ring3直接调用OpenProcess再也毫无影响。
Delay_time
- 用C编写的微秒级精确延时DLL函数库,通过调用kernel32.dll的QueryPerformanceFrequency()、QueryPerformanceCounter()函数实现。
yingjianxinxi
- 获取系统硬件信息。取得系统的硬件详细信息
api
- 主要用于PB的api函数,开发者可以调用
WinService
- windows服务创建程序,非常适用。无需修改,直接添加自己的代码,可应用于各种需要windows服务的应用程序。