CUI版WIN64AST的源代码,主要代码写于2011年1月份,代码放出来的象征意义大于实际意义。大家可以通过这个工程学习一下64位程序应该怎么写。 **** 本内容被作者隐藏 **** ...
2013-3-2 20:47 - Tesla.Angela - WINDOWS核心编程
普通的内核后门要么是内核HOOK,要么是内核回调,要么是劫持特定驱动的对象——这些方式都能被检测到。 换句话说,容易检测就等于容易失去。况且,WIN64上因为PATCHGUARD的原因,基本只能使用内核回调来实现后门了。 ...
2015-5-2 14:06 - Tesla.Angela - WINDOWS核心编程
Windows 10搞出来了个“基于虚拟化的安全”(Virtualization-Based Security,简称VBS)。这玩意使用了处理器虚拟化技术,因此对于那些使用硬件虚拟化的软件会有较大的影响。接下来讲一些我自己所了解到的东西,以及 ...
2020-4-18 14:01 - tangptr@126.com - WINDOWS核心编程
因为公司的产品需求要搞一搞EPT和NPT,这俩玩意其实结构上和AMD64体系下长模式分页的四级页表是一致的,下面对四级页表做简单的介绍。 **** 本内容被作者隐藏 **** ...
2018-7-13 12:58 - tangptr@126.com - WINDOWS核心编程
目前网上流传的两种驱动强力读写内存方法,都能被大部分游戏代理商防范了。其实强力读写内存的方法太多,今天决定分享另外两种。这两种方法其实网上也早就有了,只不过知道的人不多而已。 一、“借用”目标线程来实 ...
2017-8-20 17:50 - Tesla.Angela - WINDOWS核心编程
众所周知,进程模块的信息分别存在于PEB和VAD里。枚举PEB的文章很多,我就不赘述了。枚举VAD的文章很少,而且代码写得乱七八糟,于是决定写篇文章科普一下。由于VAD并不是微软公开的结构,所以不同系统的变化比较大 ...
2017-10-31 18:07 - Tesla.Angela - WINDOWS核心编程
此代码非常优美地演示了如何使用WCHAR版本API,并接收返回的WCHAR字符串。 **** 本内容被作者隐藏 ****
2025-8-13 01:38 - Tesla.Angela - Visual Basic
用PsSetCreateProcessNotifyRoutine创建了回调例程之后,PCHunter会检测到你的回调以及你的所属驱动。如果这个驱动明显不属于系统驱动,ARK的使用者会直接把你的回调Remove掉。如果这个回调地址是一个正常的驱动的地 ...
2016-11-21 22:21 - tangptr@126.com - WINDOWS核心编程
从NT3DDK开始到WIN7WDK结束,每个驱动开发包都会包含部分源码范例。 从WDK8开始,驱动开发包不再包含任何源码范例了,但源码范例可以在MSDN上下载。 DDK3~WDK8.1:http://pan.baidu.com/s/1qWJkwJq(如果链接失效请 ...
2014-12-1 21:17 - Tesla.Angela - WINDOWS核心编程
基本上重命名文件都是使用ZwSetInformationFile,但如果拿到FILE_OBJECT的时候还用此函数就有点多此一举了。网上流传的IrpSetInformationFile有坑,是无法重命名文件的,于是对着WRK和REACTOS抄袭了一下,硬是弄出了 ...
2017-3-10 20:41 - Tesla.Angela - WINDOWS核心编程
硬件: 1、两个ARDUINO NANO(8位AVR芯片的经典版本。因为它的SRAM太小,所以要用两个。一个用于显示,一个用于控制。如果不需要显示,则只需要一个) 2、红外遥控器+红外接收器模块(三针脚接口,VCC+SIGNAL+GND) ...
2025-7-27 07:05 - Tesla.Angela - IOT开发(单片机编程/代码建模/3D打印)
本来只是想写个计算器,一不小心写牛逼了 控件数值支持上下按钮加减,拖动中心区域加减,键盘上下按键加减 坛子上传不依赖FLASH了?终于能直接传了香 别的坛子没有VB玩家,发了没啥用,还得分享这里 ...
2025-6-3 16:53 - JuncoJet - Visual Basic
1、在NTOSKRNL的范围内寻找jmp rcx的机器码(ff e1)并记录到变量addr 2、PsCreateSystemThread(p0,p1,p2,p3,p4,addr,你的线程函数指针); 修改起始地址指向正常模块 如何欺骗这个线程的堆栈 好实现吗 还有其他方 ...
2025-7-23 23:38 - Wiezerzz - WINDOWS核心编程
网上这类代码不少,但仅兼容XP还带一堆硬编码的代码居多,已经不适应新时代了,特此科普一下。**** 本内容被作者隐藏 ****
2015-10-7 18:27 - Tesla.Angela - WINDOWS核心编程
看了T.A的帖子[原创开源]一种绕过注册表回调的新型方式(支持XP~WIN10)http://www.m5home.com/bbs/thread-9301-1-1.html深受启发,找到了禁用process/thread/image回调的方法。我文笔不好,闲话就不多说了,直接说 ...
2018-2-9 21:42 - ^_^ - WINDOWS核心编程
纯粹骗回复 **** 本内容被作者隐藏 ****
2022-4-8 16:19 - tangptr@126.com - WINDOWS核心编程
本文的核心思路是拿KiInsertQueueApc插APC到线程暂停线程。 **** 本内容被作者隐藏 ****
2016-2-9 03:10 - tangptr@126.com - WINDOWS核心编程
Theme: Let the starting address of your kernel thread locate in the NTOSKRNL image space. Thema: Lass die Startadresse deines Kernel-Threads im Bereich des NTOSKRNL-Images lokalisieren.[hr] 隐藏内核 ...
2023-3-8 17:21 - Tesla.Angela - WINDOWS核心编程
今天工作中,我在WIN10(1703)上遇到了一个无法删除的进程回调,非常诡异。在短暂的惊讶之后,迅速确定是MS在捣鬼。果不其然,微软在WIN10(1703)中,新增了一种进程回调。**** 本内容被作者隐藏 **** ...
2017-6-15 23:07 - Tesla.Angela - WINDOWS核心编程
Rust 语言真的好:连续八年成为全世界最受欢迎的语言、没有 GC 也无需手动内存管理、性能比肩 C++/C 还能直接调用它们的代码、安全性极高 - 总有公司说使用 Rust 后以前的大部分 bug 都将自动消失、全世界最好的包管 ...
2024-10-24 23:34 - tangptr@126.com - WINDOWS核心编程
Rust 语言真的好:连续八年成为全世界最受欢迎的语言、没有 GC 也无需手动内存管理、性能比肩 C++/C 还能直接调用它们的代码、安全性极高 - 总有公司说使用 Rust 后以前的大部分 bug 都将自动消失、全世界最好的包管 ...
2025-3-11 13:41 - tangptr@126.com - 谈天说地
作者:Tesla.Angela WIN32下常见的INLINE HOOK,本质上分为2中,一种是强制跳转,一种是CALL替换。这两种方法的缺点就是很容易被ARK发现代理函数在哪里,隐蔽性太差。不知有人观察过没有,IDT虽然有256个“入口函数 ...
2014-10-24 20:28 - Tesla.Angela - WINDOWS核心编程
**** 本内容被作者隐藏 ****
2011-5-11 17:15 - Tesla.Angela - WINDOWS核心编程
WIN64AST 1.00 BETA2不再需要破解内核,那意味着内核INLINE HOOK被彻底抛弃了。。。 现在发出来,也许对初学X64ASM的朋友还有一定的价值。。。 **** 本内容被作者隐藏 **** ...
2012-10-1 18:08 - Tesla.Angela - WINDOWS核心编程
不知道这年头还有人折腾HOOK么。。。 **** 本内容被作者隐藏 ****
2021-10-24 20:31 - tangptr@126.com - WINDOWS核心编程
今天忽然间对栈回溯产生了兴趣,因为有人说WIN64AST的的行为监视器看不到调用堆栈,于是打算实现相关功能。 无意中上网搜索关于栈回溯的知识,结果震惊了,这么标准的东西,竟然被那些所谓的“大牛”写得繁杂无比, ...
2013-12-27 22:54 - Tesla.Angela - WINDOWS核心编程
以下代码由ChatGPT生成,我稍加修改了一下。只要把代码复制下来命名为***.c即可使用WDK7编译。 为啥我要发这个帖子呢?原因在这:**** 本内容被作者隐藏 **** ...
2025-3-3 00:02 - Tesla.Angela - WINDOWS核心编程
想在内核执行R3的SHELLCODE,网上查到资料好像要用KeUserModeCallback?但好像只支持XP,不支持WIN7。 ----------我是分割线---------- 题外话:关于昨天有人诬蔑TA的事情,终身VIP前来现身说法。本人2011年注册论坛 ...
2016-8-26 00:15 - gfw - WINDOWS核心编程
[hr]其实64位系统上每个进程都是64位进程,明面上的32位进程只要打通“任督二脉”,就可以实现对64位进程注入DLL了。 在这个PoC里,注入32位进程用了标准的CreateRemoteThread/RtlCreateUserThread + LoadLibraryW, ...
2016-8-10 16:49 - Tesla.Angela - WINDOWS核心编程
作者:Tesla.Angela 这个东西可以在极端的反调试环境下使用,运行后马上会毁掉“磁盘0”的所有数据。 原理是打开物理磁盘,然后调用IOCTL_DISK_DELETE_DRIVE_LAYOUT删除分区表。 某些杀毒软件可能会禁止打开物理磁 ...
2014-11-26 23:25 - Tesla.Angela - WINDOWS核心编程
作者:Tesla.Angela 在教程里只有干掉MiniFilter的代码,但是文件系统的过滤器,除了MiniFilter,还有古老的“文件系统过滤驱动”。但实际上,MiniFilter是基于传统过滤驱动的,只要把文件系统上attach的所有设备清 ...
2014-6-2 19:15 - Tesla.Angela - WINDOWS核心编程
做个无聊的调查纯粹是因为好奇,顺便给大家赚点积分(回帖奖励10个水晶币,请回复有意义的内容,否则会被封号)。 我本人的代码组织方式是:1个C文件 + N个H文件。 提醒一下哦,要回复才有奖励,光投票不回复也是没 ...
2013-1-18 13:03 - Tesla.Angela - WINDOWS核心编程
这个“大部分”包括XueTr。**** 本内容被作者隐藏 ****这个方法不影响任何一般性的系统功能。
2016-9-4 19:29 - Tesla.Angela - WINDOWS核心编程
基于Chromium内核,VB6使用Chromium内核,原理是调用微软EDGE浏览器WebView2内核,而WebView2是使用的Chromium内核,好处就是win10系统以上不需要附带复杂的90MB的Chromium SDK全家桶,直接可用。 **** 本内容 ...
2025-3-3 19:34 - jinfu - Visual Basic
四年前,WIN10(2004)系统刚出来的时候,我就发表过一篇《WIN10(2004)系统WIN32K系列驱动的一些变化》,如今WIN11已经进化到了26100,WIN32K又带来了一系列新的变化。**** 本内容被作者隐藏 **** ...
2024-10-12 13:54 - Tesla.Angela - WINDOWS核心编程
核心是从网上Copy & Paste来的,但是删除了大量无效内容,使得代码很精简,只有15行。**** 本内容被作者隐藏 ****2024年补充说明:**** 本内容被作者隐藏 **** ...
2011-7-11 14:20 - Tesla.Angela - WINDOWS核心编程
十几年前,我曾经发了一个校验文件数字签名的代码。然而现在越来越多的文件自身不再包含数字签名,而是把数字签名放在了目录(catalog)里。在这种情况下,原来的签名校验函数会直接返回失败,这是不合理的。经过一 ...
2024-3-22 09:20 - Tesla.Angela - WINDOWS核心编程
使用进程回调方式保护不被读取内存,支持多进程,完美不蓝屏。 2025年了,是不是没人玩VB6, **** 本内容被作者隐藏 ****
2025-3-1 20:22 - jinfu - Visual Basic
作者:Tesla.Angela 当文件被独占打开,而你又要读写它,网传的方法是找到文件的句柄并关闭。这就是课程5-7所说的。 不过实际上这个方法不好,因为这影响“别人”的工作。实际上,我有两个更好的办法解决这一问题。 ...
2014-6-22 15:03 - Tesla.Angela - WINDOWS核心编程
我的NoirVisor是我自己写的,于是别人踩过的坑,我没踩过。当我踩到坑了,我就出来看看别人有没有,果不其然,别人也有。这个问题不大,一般也不会导致蓝屏,也不会干脆暴毙,但确实是个问题。 TA在论坛发表的vt-dem ...
2020-8-27 16:54 - tangptr@126.com - WINDOWS核心编程
真的是唯一标准方法:**** 本内容被作者隐藏 ****
2012-12-13 21:11 - Tesla.Angela - WINDOWS核心编程
之前一直遇到一个很蛋疼的问题,就是如何强制修改内核内存的属性。 至于为什么要修改WIN64内核内存的属性,原因很简单,为了方便做坏事啊。{:soso_e113:} 可是我找了各种方法,均不成功,因为WINDOWS根本没有提供 ...
2012-7-21 00:50 - Tesla.Angela - WINDOWS核心编程
老毛子就是大方啊,不过感觉这份源码东拼西凑的成分比较大。怀疑是逆出来的TDL3源码,但绝非“IDA风格”的源码。 国外论坛好东西多,但是那些论坛要不然被墙了,要不然国内的IP打不开,每次浏览外国论坛都要挂SSH, ...
2013-2-5 22:28 - Tesla.Angela - WINDOWS核心编程
转载自kernelmode.info,实际有效代码仅5行。 把复杂问题简单化的人,才算是“大牛”,连调用个API都内嵌ASM的,只有国内的“扯淡牛”才这么干。 **** 本内容被作者隐藏 **** ...
2013-12-6 09:28 - Tesla.Angela - WINDOWS核心编程
相比起内核明星PatchGuard,HyperGuard可谓完全没有知名度。直到最近,Mark E .Russinovich才在一本新书里宣告了它的存在,并做了如下描述:如果懒得看英语,我就简单总结几句:**** 本内容被作者隐藏 ****这本新书 ...
2017-5-17 19:40 - Tesla.Angela - WINDOWS核心编程
所谓“标准方法版”,就是把WPOFF/WPON+memcpy换为了MDL+memcpy的方式。 下面提供了【-8+6】和【8+6】两种模式的挂钩方法,基本上适用于90%以上的API了。 注意,这个跟“安全INLINE HOOK”没啥关系。**** 本内容被作 ...
2015-10-10 08:48 - Tesla.Angela - WINDOWS核心编程
WIN7系统以上有效。 **** 本内容被作者隐藏 ****
2025-3-1 19:09 - jinfu - Visual Basic
一般的驱动没啥稀奇,但带导出函数的驱动估计比较少见(比如磁盘端口驱动,就带导出函数)。 在洋人博客找到两个例子,发上来给大家围观下。
2015-11-16 17:31 - Tesla.Angela - WINDOWS核心编程
在8年前,我写过一篇《使用VS2015+WDK10开发驱动》的教程。如今WIN11的稳定版(LTSC)已经发布了,那么开发环境也应该更新换代了。随着微软文档的完善,如今配置开发环境不再需要请教老师傅了,直接看官方文档即可获 ...
2024-10-22 18:03 - Tesla.Angela - WINDOWS核心编程
最近因为特殊原因,需要分析Windows 10的Shadow SSDT,这里分享下分析的成果 **** 本内容被作者隐藏 **** 另外吐槽一下网传代码的大坑。。。 **** 本内容被作者隐藏 **** 以上就是本人近期针对Windows 10的Shadow SS ...
2017-7-6 01:51 - tangptr@126.com - WINDOWS核心编程
作者:Tesla.Angela WIN32和WIN64在NTOSKRNL里差别最大的地方,非SSDT莫属。不过这个差别,说大也大,说不大也不大。主要在以下四个方面:1.WIN32上KeServiceDescriptorTable是导出的,WIN64上需要自己定位;2.WIN3 ...
2014-6-2 19:16 - Tesla.Angela - WINDOWS核心编程
首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR http://www.m5home.com/bbs/thread-7444-1-1.html 但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之 ...
2013-2-2 09:48 - Tesla.Angela - WINDOWS核心编程
内容隐藏需要,请点击进去查看
2013-1-29 10:51 - Tesla.Angela - WINDOWS核心编程
作者:Tesla.Angela 今天介绍的东西,与其说用来保护注册表,不如说是介绍一种比较罕见的操作方式:DKOH(直接内核对象挂钩)。WINDOWS系统在遍历注册表的时候,会调用“注册表对象”(类似于进程对象EPROCESS的结 ...
2014-9-24 23:51 - Tesla.Angela - WINDOWS核心编程
其实感觉在WIN32上也差不多吧,只是我以WIN7X64举例而已。 下面以查看NtUserPostMessage函数的INDEX为例。 **** 本内容被作者隐藏 ****
2012-6-1 13:53 - Tesla.Angela - WINDOWS核心编程
很多人不喜欢VB的ActiveX-DLL,原因之一可能是调用ActiveX-DLL之前需要将其注册,而注册ActiveX-DLL又需要调用外部程序regsvr32。调用外部程序总给人一种不靠谱的感觉,因为你无法得知注册是否成功。其实要注册Activ ...
2022-8-23 06:47 - Tesla.Angela - Visual Basic
发个BIN装个B。。。 360在WIN64上就是用的这种进程保护方式。。。 [hr] 图为保护了calc.exe进程: [hr] 附件:**** 本内容被作者隐藏 ****
2012-5-17 13:07 - Tesla.Angela - WINDOWS核心编程
弄这个东西主要是有些ACS(ANTI-CHEAT SYSTEM)会检测系统是否处于“越狱模式”,检测到就不允许游戏运行了。 虽然我不弄挂,但“内核越狱”可是我在破解方面的第一个“作品”呢!于是写了这个东西过了“内核越狱” ...
2014-8-2 12:44 - Tesla.Angela - WINDOWS核心编程
BIN见这里:http://www.m5home.com/bbs/thread-6266-1-1.html 附件就是这个BIN的源代码。 核心源码: **** 本内容被作者隐藏 ****
2012-4-10 15:08 - Tesla.Angela - WINDOWS核心编程
这东西是2011年7月份左右写好的,当时基本没人懂这个技术,我大学时期靠卖这份代码赚了点小钱。 不过网上有些人不地道,买了代码就放出去,结果这个代码就慢慢普及了(也就是说卖不了钱了),于是决定免费放出。 ...
2013-12-22 00:21 - Tesla.Angela - WINDOWS核心编程
代码本身的技术含量不高,某个地方还处理得还特别烂,不过至少能用。 现在提供完整的代码,希望可以帮到有需要的朋友。 我做好的工具:http://www.vbasm.com/thread-5651-1-1.html [hr] **** 本内容被作者隐藏 **** ...
2011-2-16 18:49 - Tesla.Angela - WINDOWS核心编程
从我某个POC里挖出来的。 用途就不解释了,做坏事必备。 **** 本内容被作者隐藏 ****
2013-6-28 08:45 - Tesla.Angela - WINDOWS核心编程
这两个NTSTATUS的错误值转换为WIN32ERROR后,刚好为0。 适用于“拒绝操作但不想弹窗报错惊动用户”的特殊场合。 注意:不是在任何场合都适用。需要自己测试。 **** 本内容被作者隐藏 **** ...
2023-6-19 07:36 - Tesla.Angela - WINDOWS核心编程
注:由于微软太喜欢折腾,政策经常变化,所以本文的观点不保证完全正确,请带着批判的眼光阅读本文。 早在今年8月,就有网友问过类似的问题,我当时给出了详细的回复:求解释WIN10(1607)的签名新政策。最近我正好在 ...
2016-12-21 21:55 - Tesla.Angela - WINDOWS核心编程