相比起内核明星PatchGuard,HyperGuard可谓完全没有知名度。直到最近,Mark E .Russinovich才在一本新书里宣告了它的存在,并做了如下描述:如果懒得看英语,我就简单总结几句:**** 本内容被作者隐藏 ****这本新书 ...
2017-5-17 19:40 - Tesla.Angela - WINDOWS核心编程
所谓“标准方法版”,就是把WPOFF/WPON+memcpy换为了MDL+memcpy的方式。 下面提供了【-8+6】和【8+6】两种模式的挂钩方法,基本上适用于90%以上的API了。 注意,这个跟“安全INLINE HOOK”没啥关系。**** 本内容被作 ...
2015-10-10 08:48 - Tesla.Angela - WINDOWS核心编程
WIN7系统以上有效。 **** 本内容被作者隐藏 ****
2025-3-1 19:09 - jinfu - Visual Basic
四年前,WIN10(2004)系统刚出来的时候,我就发表过一篇《WIN10(2004)系统WIN32K系列驱动的一些变化》,如今WIN11已经进化到了26100,WIN32K又带来了一系列新的变化。**** 本内容被作者隐藏 **** ...
2024-10-12 13:54 - Tesla.Angela - WINDOWS核心编程
一般的驱动没啥稀奇,但带导出函数的驱动估计比较少见(比如磁盘端口驱动,就带导出函数)。 在洋人博客找到两个例子,发上来给大家围观下。
2015-11-16 17:31 - Tesla.Angela - WINDOWS核心编程
以下代码由ChatGPT生成,我稍加修改了一下。只要把代码复制下来命名为***.c即可使用WDK7编译。 为啥我要发这个帖子呢?原因在这:**** 本内容被作者隐藏 **** ...
2025-3-3 00:02 - Tesla.Angela - WINDOWS核心编程
Rust 语言真的好:连续八年成为全世界最受欢迎的语言、没有 GC 也无需手动内存管理、性能比肩 C++/C 还能直接调用它们的代码、安全性极高 - 总有公司说使用 Rust 后以前的大部分 bug 都将自动消失、全世界最好的包管 ...
2025-3-11 13:41 - tangptr@126.com - 谈天说地
在8年前,我写过一篇《使用VS2015+WDK10开发驱动》的教程。如今WIN11的稳定版(LTSC)已经发布了,那么开发环境也应该更新换代了。随着微软文档的完善,如今配置开发环境不再需要请教老师傅了,直接看官方文档即可获 ...
2024-10-22 18:03 - Tesla.Angela - WINDOWS核心编程
最近因为特殊原因,需要分析Windows 10的Shadow SSDT,这里分享下分析的成果 **** 本内容被作者隐藏 **** 另外吐槽一下网传代码的大坑。。。 **** 本内容被作者隐藏 **** 以上就是本人近期针对Windows 10的Shadow SS ...
2017-7-6 01:51 - tangptr@126.com - WINDOWS核心编程
作者:Tesla.Angela WIN32和WIN64在NTOSKRNL里差别最大的地方,非SSDT莫属。不过这个差别,说大也大,说不大也不大。主要在以下四个方面:1.WIN32上KeServiceDescriptorTable是导出的,WIN64上需要自己定位;2.WIN3 ...
2014-6-2 19:16 - Tesla.Angela - WINDOWS核心编程
十几年前,我曾经发了一个校验文件数字签名的代码。然而现在越来越多的文件自身不再包含数字签名,而是把数字签名放在了目录(catalog)里。在这种情况下,原来的签名校验函数会直接返回失败,这是不合理的。经过一 ...
2024-3-22 09:20 - Tesla.Angela - WINDOWS核心编程
作者:Tesla.Angela 当文件被独占打开,而你又要读写它,网传的方法是找到文件的句柄并关闭。这就是课程5-7所说的。 不过实际上这个方法不好,因为这影响“别人”的工作。实际上,我有两个更好的办法解决这一问题。 ...
2014-6-22 15:03 - Tesla.Angela - WINDOWS核心编程
这个“大部分”包括XueTr。**** 本内容被作者隐藏 ****这个方法不影响任何一般性的系统功能。
2016-9-4 19:29 - Tesla.Angela - WINDOWS核心编程
基于Chromium内核,VB6使用Chromium内核,原理是调用微软EDGE浏览器WebView2内核,而WebView2是使用的Chromium内核,好处就是win10系统以上不需要附带复杂的90MB的Chromium SDK全家桶,直接可用。 **** 本内容 ...
2025-3-3 19:34 - jinfu - Visual Basic
首先看这个:Win7x64上突破雨过天晴20130111自我保护写入正常MBR http://www.m5home.com/bbs/thread-7444-1-1.html 但我在上面没有提及的是,雨过天晴2013是一款十分恶心的软件,除了挂钩了DISK和ATAPI所有的IRP之 ...
2013-2-2 09:48 - Tesla.Angela - WINDOWS核心编程
使用进程回调方式保护不被读取内存,支持多进程,完美不蓝屏。 2025年了,是不是没人玩VB6, **** 本内容被作者隐藏 ****
2025-3-1 20:22 - jinfu - Visual Basic
内容隐藏需要,请点击进去查看
2013-1-29 10:51 - Tesla.Angela - WINDOWS核心编程
作者:Tesla.Angela 今天介绍的东西,与其说用来保护注册表,不如说是介绍一种比较罕见的操作方式:DKOH(直接内核对象挂钩)。WINDOWS系统在遍历注册表的时候,会调用“注册表对象”(类似于进程对象EPROCESS的结 ...
2014-9-24 23:51 - Tesla.Angela - WINDOWS核心编程
其实感觉在WIN32上也差不多吧,只是我以WIN7X64举例而已。 下面以查看NtUserPostMessage函数的INDEX为例。 **** 本内容被作者隐藏 ****
2012-6-1 13:53 - Tesla.Angela - WINDOWS核心编程
很多人不喜欢VB的ActiveX-DLL,原因之一可能是调用ActiveX-DLL之前需要将其注册,而注册ActiveX-DLL又需要调用外部程序regsvr32。调用外部程序总给人一种不靠谱的感觉,因为你无法得知注册是否成功。其实要注册Activ ...
2022-8-23 06:47 - Tesla.Angela - Visual Basic
发个BIN装个B。。。 360在WIN64上就是用的这种进程保护方式。。。 [hr] 图为保护了calc.exe进程: [hr] 附件:**** 本内容被作者隐藏 ****
2012-5-17 13:07 - Tesla.Angela - WINDOWS核心编程
做个无聊的调查纯粹是因为好奇,顺便给大家赚点积分(回帖奖励10个水晶币,请回复有意义的内容,否则会被封号)。 我本人的代码组织方式是:1个C文件 + N个H文件。 提醒一下哦,要回复才有奖励,光投票不回复也是没 ...
2013-1-18 13:03 - Tesla.Angela - WINDOWS核心编程
核心是从网上Copy & Paste来的,但是删除了大量无效内容,使得代码很精简,只有15行。**** 本内容被作者隐藏 ****2024年补充说明:**** 本内容被作者隐藏 **** ...
2011-7-11 14:20 - Tesla.Angela - WINDOWS核心编程
弄这个东西主要是有些ACS(ANTI-CHEAT SYSTEM)会检测系统是否处于“越狱模式”,检测到就不允许游戏运行了。 虽然我不弄挂,但“内核越狱”可是我在破解方面的第一个“作品”呢!于是写了这个东西过了“内核越狱” ...
2014-8-2 12:44 - Tesla.Angela - WINDOWS核心编程
BIN见这里:http://www.m5home.com/bbs/thread-6266-1-1.html 附件就是这个BIN的源代码。 核心源码: **** 本内容被作者隐藏 ****
2012-4-10 15:08 - Tesla.Angela - WINDOWS核心编程
这东西是2011年7月份左右写好的,当时基本没人懂这个技术,我大学时期靠卖这份代码赚了点小钱。 不过网上有些人不地道,买了代码就放出去,结果这个代码就慢慢普及了(也就是说卖不了钱了),于是决定免费放出。 ...
2013-12-22 00:21 - Tesla.Angela - WINDOWS核心编程
今天忽然间对栈回溯产生了兴趣,因为有人说WIN64AST的的行为监视器看不到调用堆栈,于是打算实现相关功能。 无意中上网搜索关于栈回溯的知识,结果震惊了,这么标准的东西,竟然被那些所谓的“大牛”写得繁杂无比, ...
2013-12-27 22:54 - Tesla.Angela - WINDOWS核心编程
代码本身的技术含量不高,某个地方还处理得还特别烂,不过至少能用。 现在提供完整的代码,希望可以帮到有需要的朋友。 我做好的工具:http://www.vbasm.com/thread-5651-1-1.html [hr] **** 本内容被作者隐藏 **** ...
2011-2-16 18:49 - Tesla.Angela - WINDOWS核心编程
**** 本内容被作者隐藏 ****
2011-5-11 17:15 - Tesla.Angela - WINDOWS核心编程
从我某个POC里挖出来的。 用途就不解释了,做坏事必备。 **** 本内容被作者隐藏 ****
2013-6-28 08:45 - Tesla.Angela - WINDOWS核心编程
这两个NTSTATUS的错误值转换为WIN32ERROR后,刚好为0。 适用于“拒绝操作但不想弹窗报错惊动用户”的特殊场合。 注意:不是在任何场合都适用。需要自己测试。 **** 本内容被作者隐藏 **** ...
2023-6-19 07:36 - Tesla.Angela - WINDOWS核心编程
注:由于微软太喜欢折腾,政策经常变化,所以本文的观点不保证完全正确,请带着批判的眼光阅读本文。 早在今年8月,就有网友问过类似的问题,我当时给出了详细的回复:求解释WIN10(1607)的签名新政策。最近我正好在 ...
2016-12-21 21:55 - Tesla.Angela - WINDOWS核心编程
内容隐藏需要,请点击进去查看
2012-1-10 18:18 - Tesla.Angela - WINDOWS核心编程
最近在弄WIN64AST的“破坏文件”和“强制读写MBR”功能,一开始用摘除文件系统过滤驱动+直接给NTFS/FASTFAT驱动发IRP的方式实现直接磁盘读写。 后来发现这个方法太弱,别说过不了TDL4,连还原都过不了,于是恶补了 ...
2013-2-5 14:19 - Tesla.Angela - WINDOWS核心编程
WIN64AST 1.00 BETA2不再需要破解内核,那意味着内核INLINE HOOK被彻底抛弃了。。。 现在发出来,也许对初学X64ASM的朋友还有一定的价值。。。 **** 本内容被作者隐藏 **** ...
2012-10-1 18:08 - Tesla.Angela - WINDOWS核心编程
如题,不解释。 核心源码: **** 本内容被作者隐藏 ****
2012-4-10 15:13 - Tesla.Angela - WINDOWS核心编程
最近重新折腾MiniFilter,玩玩隐藏文件,拦截驱动以及过PCHunter的普通删除的功能。由于在编码时重新构造了驱动框架,于是直接一头扎进坑里。 **** 本内容被作者隐藏 **** ...
2019-6-12 17:50 - tangptr@126.com - WINDOWS核心编程
新增的函数是:PsSetCreateThreadNotifyRoutineEx。这个函数比老函数(PsSetCreateThreadNotifyRoutine)有了一些实质性的进步,可以选择性接收特定类型线程的消息(可以指定只接收非系统线程的通知,而忽略系统线程 ...
2017-11-14 21:51 - Tesla.Angela - WINDOWS核心编程
如果想在DriverEntry执行之后再进行一些初始化操作(某些操作不宜在DriverEntry里做),很多人就会新建一个内核线程,然后在内核线程里执行相关代码。其实不需要这个土办法,微软早就考虑到了这种情况,提供了一个专 ...
2017-5-4 12:10 - Tesla.Angela - WINDOWS核心编程
这些代码来自WIN64AST,写于2011~2012年,当年写代码的目标就是凑合着能用,有没有BUG就不在考量范畴了。如果你需要在商业工程中使用这些代码,则需要对代码进行润色。由于对IDT和GDT的操作跟系统版本基本无关,因此 ...
2021-12-25 10:21 - Tesla.Angela - WINDOWS核心编程
直接抄WIN32版的代码是不行的。。。因为结构体发生了变化。。。 [hr] f:\projects\win64ast\enumkm.h **** 本内容被作者隐藏 **** 惊人发现: **** 本内容被作者隐藏 **** ...
2011-2-16 20:56 - Tesla.Angela - WINDOWS核心编程
破解PatchGuard和Driver Signature Enforcement不算什么秘密了,不过目前网上的版本总是有一个EXE和一个BAT,要手工操作(点击几下鼠标),还会出现控制台界面和一堆烦人的提示,实在是不方便做坏事。 今天做了个纯 ...
2013-1-4 10:10 - Tesla.Angela - WINDOWS核心编程
昨晚跟旓旓(X64ASM站长)聊天,旓旓很神秘地对我说:可以不破解内核在WIN64上加载无签名驱动。 旓旓的话很简单,概括起来就是: 找到某已签名的驱动,然后进行本地提权,即可执行任意代码。。。 并说自己已经成功实 ...
2012-7-21 09:39 - Tesla.Angela - WINDOWS核心编程
普通的内核后门要么是内核HOOK,要么是内核回调,要么是劫持特定驱动的对象——这些方式都能被检测到。 换句话说,容易检测就等于容易失去。况且,WIN64上因为PATCHGUARD的原因,基本只能使用内核回调来实现后门了。 ...
2015-5-2 14:06 - Tesla.Angela - WINDOWS核心编程
因为公司的产品需求要搞一搞EPT和NPT,这俩玩意其实结构上和AMD64体系下长模式分页的四级页表是一致的,下面对四级页表做简单的介绍。 **** 本内容被作者隐藏 **** ...
2018-7-13 12:58 - tangptr@126.com - WINDOWS核心编程
Windows 10搞出来了个“基于虚拟化的安全”(Virtualization-Based Security,简称VBS)。这玩意使用了处理器虚拟化技术,因此对于那些使用硬件虚拟化的软件会有较大的影响。接下来讲一些我自己所了解到的东西,以及 ...
2020-4-18 14:01 - tangptr@126.com - WINDOWS核心编程
刚看到一个热心会员的帖子:《所有64位系统的EPROCESS和ETHREAD结构》,由于WIN10更新太猛,直接把结构体成员偏移写死在代码里已经不可靠了,所以在可以联网的情况下,我建议使用符号获取结构体成员的偏移(其实现在 ...
2020-9-9 02:36 - Tesla.Angela - WINDOWS核心编程
在WIN10-15063和之后的系统上,《WIN64教程》里枚举消息钩子的代码已经无法使用了。原因是WINDOWS进行了修改,把暴露在用户空间的内核地址给抹去了。后来和朋友一起研究,找到了新的方法。下文贴出的代码基本上算是 ...
2019-12-9 01:48 - Tesla.Angela - WINDOWS核心编程
直接上图+上码不解释。 例子里实现了拦截WIN64AST.SYS的加载,代码稍加修改还可以实现拦截DLL加载。 附件:**** 本内容被作者隐藏 ****
2013-4-4 20:53 - Tesla.Angela - WINDOWS核心编程
我在教程里,公布了一种修改函数14个字节的INLINE HOOK方法。不得不说,这是一种很糟糕的HOOK法,因为需要太多空间了。这样子甚至难以实现安全HOOK,因为InterlockExchange系列函数顶多能一次性修改8个字节。 其实 ...
2014-8-15 22:55 - Tesla.Angela - WINDOWS核心编程
花了些时间研究下解析符号,这里拿出来和坛友们分享O(∩_∩)O~~ **** 本内容被作者隐藏 ****
2016-7-17 04:08 - tangptr@126.com - WINDOWS核心编程
不知道这年头还有人折腾HOOK么。。。 **** 本内容被作者隐藏 ****
2021-10-24 20:31 - tangptr@126.com - WINDOWS核心编程
这个补丁目前影响的系统范围是WIN7(7601)到WIN10(16299)。时间跨度长达8年(2009~2017)。一般人不需要在意这个细节,但是做MSR-HOOK的人就要长点心了:不仅要修改现有代码,还需要判断系统是否打了这个补丁(毕 ...
2018-1-25 19:22 - Tesla.Angela - WINDOWS核心编程
**** 本内容被作者隐藏 ****
2019-4-30 10:34 - YOUBADBAD - WINDOWS核心编程
以前,WDK7.1是自带编译器的,所以有那么多菜单可供选择,也可以自己写批处理实现编译驱动。 **** 本内容被作者隐藏 **** 这种DIY的东西不知道有没有人愿意看,在这个IDE横行的时代估计甚少有人想看,哈哈! ...
2017-4-18 09:06 - tangptr@126.com - WINDOWS核心编程
有的时候不得不说开源的玩意也挺好。 **** 本内容被作者隐藏 **** 2023-10-10补充 **** 本内容被作者隐藏 **** 2023-11-02 补充 **** 本内容被作者隐藏 **** 2024-01-10补充 **** 本内容被作者隐藏 **** 2025-01-27 ...
2023-9-19 05:21 - tangptr@126.com - WINDOWS核心编程
MiniFilter用起来很方便,但是MiniFilter加载起来很讨厌,需要INF文件,再使用InfDefaultInstall.exe来安装。 其实,使用MiniFilter的驱动完全是可以当作普通NT驱动加载,不需要INF,也不需要InfDefaultInstall.exe ...
2017-3-11 15:47 - Tesla.Angela - WINDOWS核心编程
Base64 & UUE 文件编码解码器 2.0.31.rar.UUE 用途:二进制数据与UUE或Base64编码文本互转。最初设计是想用于在论坛直接分享 1Mb 以下二进制数据而不用下载链接。 本来想把程序直接用UUE编码发出来的,但是论坛代 ...
2024-11-6 15:53 - jessezappy - 原创软件发布
[hr]其实64位系统上每个进程都是64位进程,明面上的32位进程只要打通“任督二脉”,就可以实现对64位进程注入DLL了。 在这个PoC里,注入32位进程用了标准的CreateRemoteThread/RtlCreateUserThread + LoadLibraryW, ...
2016-8-10 16:49 - Tesla.Angela - WINDOWS核心编程
首先我们都知道PatchGuard引起的蓝屏是0x109代码的,但你们知道后面其实这个蓝屏代码其实还跟着有意义的参数么 **** 本内容被作者隐藏 **** 以下内容翻译自Alex Ionescu的博客(什么,搞内核的不认识Alex Ionescu? ...
2018-7-19 16:13 - tangptr@126.com - WINDOWS核心编程
我的NoirVisor是我自己写的,于是别人踩过的坑,我没踩过。当我踩到坑了,我就出来看看别人有没有,果不其然,别人也有。这个问题不大,一般也不会导致蓝屏,也不会干脆暴毙,但确实是个问题。 TA在论坛发表的vt-dem ...
2020-8-27 16:54 - tangptr@126.com - WINDOWS核心编程
在WIN10-14393和之后的系统上,获取SSDT/SSSDT的原始地址的方法变化了(但是枚举当前地址的方法没有变化)。**** 本内容被作者隐藏 ****如果以后系统再有变化,本帖可能不会持续更新了,因为WIN64AST已经停止开发了 ...
2019-12-9 02:06 - Tesla.Angela - WINDOWS核心编程
在NTOSKRNL.EXE的导出表,有一个叫做NtBuildNumber的变量,它记录的是系统的版本号,可以直接这么引用:**** 本内容被作者隐藏 ****
2014-9-24 10:08 - Tesla.Angela - WINDOWS核心编程
在《[5-7]强制解锁文件》里,用以下代码关闭句柄:不过这段代码只可以关闭普通句柄,无法关闭内核句柄。关闭内核句柄的代码,应该加上如下处理:**** 本内容被作者隐藏 ****这样就可以关闭内核句柄了。 ...
2016-8-25 08:52 - Tesla.Angela - WINDOWS核心编程