检索结果-南通市图书馆

从MBR出发列出所有分区的物理扇区位置和类型

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

黑客防线 2008年第9期 81-83页

作者： pixiebox

对于系统底层程序员来说，如果想开发能够直接搜索磁盘来寻找隐藏文件，或寻找磁盘的引导分区是否受到ROOTKIT感染，或想开发磁盘保护工具，或BOOTKIT，所要面对的首要任务就是从底层确定各个磁盘分区的物理位置．哪一个是引导分区，以... 详细信息

对于系统底层程序员来说，如果想开发能够直接搜索磁盘来寻找隐藏文件，或寻找磁盘的引导分区是否受到ROOTKIT感染，或想开发磁盘保护工具，或BOOTKIT，所要面对的首要任务就是从底层确定各个磁盘分区的物理位置．哪一个是引导分区，以及每一个引导分区文件系统的确认等。本文要为大家介绍的就是如何从分区表出发列出所有的主分区、扩展分区和文件系统的类型。

关键词：引导分区物理位置物理扇区类型 MBR ROOTKIT 磁盘分区文件系统

编程实现Ring0下恢复所有模块导出函数的inline hook驱动

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

黑客防线 2008年第10期 70-73页

作者： pixiebox

在驱动中，inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE，使函数能够在执行前或执行后跳转到它们的处理代码中．达到所期望的目的。如果我们将这些inlinehook代码... 详细信息

在驱动中，inline hook核心模块函数的执行代码是Rootkit、AntiRootkit和Antivirus等软件的惯用方法。在模块代码中加入JMP CODE，使函数能够在执行前或执行后跳转到它们的处理代码中．达到所期望的目的。如果我们将这些inlinehook代码恢复．它们的功能就会全部失效，而本文的目的就是让所有模块的导出函数（EAT中的函数）恢复成原来的样子，只要能够获取到未导出函数的地址（比如我们可以从KiSerViCeTabIe中获取未导出的sSDT函数地址），就可以将这个函数恢复到原来的代码。

关键词：导出函数模块函数 hook 驱动 Antivirus Rootkit 编程 CODE

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

调用Disk驱动读取扇区的驱动实现

黑客防线 2008年第8期 69-73页

作者： pixiebox

本文主要描述了一个从获取核心驱动的DriverObject开始．到调用核心驱动的Dispatch函数完成获取数据的过程。它是一个驱动程序开发者必须了解的基本知识．每一个驱动开发者都应该了解每一个调用函数的原理和实现．不然开发的驱动程序就... 详细信息

本文主要描述了一个从获取核心驱动的DriverObject开始．到调用核心驱动的Dispatch函数完成获取数据的过程。它是一个驱动程序开发者必须了解的基本知识．每一个驱动开发者都应该了解每一个调用函数的原理和实现．不然开发的驱动程序就会出现不稳定的因素．

关键词：编程驱动 Driver Object

RootkitRevealer揭露NTFS下的隐藏文件

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

黑客防线 2008年第8期 78-82页

作者： pixiebox

RootkitRevealer是一个不错的Windows底层系统分析工具，但并不像其作者所说的“理论上才可能有R00tkit躲避它的分析“。事实上，要躲避它的分析，实现起来并不是很难，我们只要知道它的实现原理就OK了。如果RootRevealer的作者能够公... 详细信息

RootkitRevealer是一个不错的Windows底层系统分析工具，但并不像其作者所说的“理论上才可能有R00tkit躲避它的分析“。事实上，要躲避它的分析，实现起来并不是很难，我们只要知道它的实现原理就OK了。如果RootRevealer的作者能够公布软件的源代码就好了，因为它是很好的学习Registry hive data和NTFS文件系统的资料，很可惜它是个黑盒子。

关键词：编程 NTFS文件系统 Rootkit

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

直接调用NTFS文件驱动检测隐藏文件

黑客防线 2008年第9期 71-75页

作者： pixiebox

如果不考虑直接读取扇区分析文件系统来检测隐藏文件的话，那么直接向建立在卷设备驱动上的文件系统驱动发送IRP是在文件系统上最底层的检测方法了。lceSword（不考虑FileReg这个插件）就是直接向最底层的文件驱动发送IRP来检测隐藏文... 详细信息

如果不考虑直接读取扇区分析文件系统来检测隐藏文件的话，那么直接向建立在卷设备驱动上的文件系统驱动发送IRP是在文件系统上最底层的检测方法了。lceSword（不考虑FileReg这个插件）就是直接向最底层的文件驱动发送IRP来检测隐藏文件的，这种检测方法使我们能够检测出SSDTHOOK、文件过滤驱动所隐藏的文件。在上期的文章中，

关键词：隐藏文件设备驱动 NTFS文件检测调用文件系统直接读取过滤驱动

inline hook IE所有版本穿越软件防火墙

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

黑客防线 2008年第8期 67-69页

作者： pixiebox

2008年第1期黑防（（植入执行文件穿越软件防火墙》一文中介绍了一种在任意PE文件中增加一个执行节，然后改变执行文件的执行点来调用这个执行节的代码。在执行代码中搜寻***的内存位置，在建立了一个用于自己的网络连接的线程后，再将... 详细信息

2008年第1期黑防（（植入执行文件穿越软件防火墙》一文中介绍了一种在任意PE文件中增加一个执行节，然后改变执行文件的执行点来调用这个执行节的代码。在执行代码中搜寻***的内存位置，在建立了一个用于自己的网络连接的线程后，再将执行权返回给执行文件原来的执行点的方法。因为改变了执行文件的执行入口点，就有了典型的病毒特性，

关键词：编程 inline hook IE

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

打造自己的NTFS文件粉碎机

黑客防线 2008年第7期 96-100页

作者： pixiebox

对于入侵他人电脑的人来说，消除自己在肉鸡上留下的文件数据是非常重要的。既然Windows提供的文件操作API并不能彻底删除文件，那么我们就自己动手从文件系统出发，打造一款可以彻底删除文件的工具吧。本文仅针对NTFS文件系统，至于FA... 详细信息

对于入侵他人电脑的人来说，消除自己在肉鸡上留下的文件数据是非常重要的。既然Windows提供的文件操作API并不能彻底删除文件，那么我们就自己动手从文件系统出发，打造一款可以彻底删除文件的工具吧。本文仅针对NTFS文件系统，至于FAT文件系统，大家可以在此基础之上自行扩展。

关键词： NTFS文件系统删除文件 MFT 文件记录