通過向設備對象\Device\Tcp發送IOCTL Code枚舉通信端口
摘要: 在應用層,枚舉進程及其通信端口一般可以用iphlpapi.dll中提供的函數來獲取。如獲取Tcp連接,則調用GetTcpTable或者AllocateAndGetTcpTableFromStack來查詢。這些API都是通過調用NtDeviceIoControlFile這個NativeAPI來進入內核查詢信息的,如果在內核用SSDT Hook來掛鉤此函數,從而隱藏特定的IP、端口信息的話,那么在應用層,常規的查詢方法就查不到隱藏的端口了。
本文通過直接向設備對象\Device\Tcp發送IOCTL Code=IOCTL_TCP_QUERY_INFORMATION_EX的命令,直接獲取進程,端口信息。本文也同時實現了UDP端口的查詢。
具體請參考下面的代碼,使用WinDDK 6001.18001編譯。
閱讀全文
posted @
2010-07-09 18:28 水 閱讀(6060) |
評論 (3) 編輯
glib庫中的哈希函數和比較函數
摘要: 最近在項目中需要用到哈希表,要以ip地址構造哈希函數和比較函數。就去網上找了下相關的資料,看了下glib中哈希表中的實現方式,雖然最終沒用這個,但既然找了就順便記錄下來,方便查閱。
哈希表是一種提供key-value訪問的數據結構,通過指定的key值可以快速的訪問到與它相關聯的value值。hash表的一種典型用法就是字典,通過單詞的首字母能夠快速的找到單詞。關于哈希表的詳細介紹請查閱數據結構的相關書籍,我這里只介紹glib庫中哈希表的哈希函數和比較函數。
閱讀全文
posted @
2010-07-06 17:43 水 閱讀(3864) |
評論 (1) 編輯
用ZwQueryVirtualMemory枚舉進程模塊
摘要: 枚舉進程模塊通常可以使用諸如:CreateToolhelp32Snapshot,Module32First,Module32Next 等"Tool Help Functions"接口來實現, 并且這也是最通用的方法(從Win95就開始支持了), 但是今天我們要介紹的是ntdll.dll導出的未文檔化接口ZwQueryVirtualMemory,。相比前面所介紹的方法,該方法可以檢測出隱藏的模塊(類似IceSword)。
閱讀全文
posted @
2010-07-05 16:32 水 閱讀(9617) |
評論 (3) 編輯