聚星亭

     摘要: 本人收集與網絡，不知原作者是誰……

一：序言
下列情況不在討論之中(沒進程)
1 通過CreateRemoteThread Inject代碼到另一個進程(有種病毒就用這種方法,實現內存感染的;其實還有更多應用)
2 通過CreateRemoteThread LoadLibray一dll到另一個進程(屏蔽Ctrl+Alt+Del,就是通過這種方法和SetWindowLog實現)


二：進程隱藏
1 Hook/InlineHook Api NtQuerySystemInformation(taskmgr.exe就是用這個函數得到Process list)
2 Hook/InlineHook Api Process32Next
3 把要隱藏的進程的EPROCESS從LIST_ENTRY中摘除
a)ring0下驅動實現,注意:Nt/2000/xp/2003中PID和FLINK在EPROCESS中的offset不盡相同
b)ring3下利用call   閱讀全文

     摘要: 說明：本文轉載于 ： iceboy @ baidu.hi

很久很久以前, 電腦一般是單核的, 即電腦上一般只有一個處理器. 這樣, 如果我們要修改一段內核代碼, 似乎 IoCreateMdl(), MmBuildMdlForNonPagedPool() / MmLockAndProbePages() 然后 KeRaiseIrqlToDpcLevel() 以后, 就可以很安全地改寫內存的數據. 因為系統只有一個 CPU, 這個 CPU 在 Irql >= DPC_LEVEL 的時候不會被調度, 因此在改寫代碼期間 eip 不可能指向被 hook 的代碼, 但是到了多處理器電腦上這一切都變了.

當一個 cpu 在 DPC_LEVEL 的時候, 它是不會被調度的. 問題是, 系統中有不止一個 cpu, 其它的 cpu 還是想干啥干啥. 如果用上述方法, 其它 cpu 很有可能在你代碼修改到一半的時候去執行, 就會造成系統崩潰, 藍屏重啟.
  閱讀全文

     摘要: 【前言】
夜里失眠，到這個論壇上泡，發現這個編程版塊不是很正規，因為我認為的好的編程版塊應該是以討論分享及解決具體問題而存在的，而不是想咱論壇這樣：
救助的問題不明確，分享就是單純的分享源碼，分享XX成品之類……

【廢話】
前幾天研究外掛了，就我這點破水平，脫機啊，封包掛啊之類的與我無緣了，只能做做內掛，滿足一下自己的虛榮心……
這里大概的給大家分享一下做內掛編程方面的知識，高手飄過，跟我一樣菜的朋友多多提出您的寶貴意見，相互學習、共勉！??！
當然了，也希望這篇文章能騙個精華之類的東東，作為我炫耀的資本~~~~
內掛，其實不難的，這里主要分享遠程線程注入相關的東西，至于其它什么游戲找CALL，功能CALL調用相關的東西，可以參考一下我寫的：
賺取權限第三貼，一個有意思的keygenMe的逆向分析
其實道理都是相同的，當然，如果您非常想要了解相關的東西，請參考別人大牛寫的文章，這里不做詳細討論。  閱讀全文