自Vista起,64位版本Windows要求内核驱动必须被签名才能加载。如果开启测试模式(TestMode),则可以加载带有测试签名的驱动。但桌面右下角会有三行小字,提示当前正运行在测试模式下。本文提供一种思路,对驱动进行测试签名,并将该水印去除,从而隐蔽的加载“未签名”驱动。整个过程只需要一个批处...
在互联网兴盛之初,BBS曾火爆一时,大家都可以在这块共享的领地分享自己的故事和心情。在计算机的世界里,如果把每个进程比作一个人,那么它们之间交流的手段又是什么呢?就是我们下面要介绍的Windows中的共享内存机制。在应用层面共享内存的使用我们知道,在Windows中每个进程的地址空间都是相互独立的。...
在32位系统上监控驱动加载,常用的手段是HookNtLoadDriver,不过有不少方法加载驱动无需经过NtLoadDriver,比如用ZwSetSystemInformation,或者使用一些未公开的0Day方法,可见HookNtLoadDriver是极其表层并不可信的方法。后来黑防上刊登过一篇H...
相信大家在Windows系统上都遇到过想删除一个文件时却被提示“无法删除”的情况。我在初学电脑时遇到这种情况只能自认倒霉,重启之后再删除文件。学习了Windows后知道了在正常情况下(即不算文件被文件过滤驱动或者各种APIHOOK保护的情况),遇到这个提示只有两种可能性:你没有删除这个文件的权限;有...
栈结构及形成过程一个进程可能被加载到内存中不同的区域执行。进程运行所使用的内存空间按照功能,大致都能分成以下4个部分:数据区:用来存储全局变量等。栈区:用来存储函数之间的调用关系,以保证被调用函数在返回时恢复到母函数中继续执行。堆区:动态分配与回收是堆区的最大特点,进程能够动态的申请一定大小的缓冲,...
笔者最近对oclHashcat工具破解密码进行了研究,偶有所得,因此撰文跟大家一起分享,本次破解对象选择破解Windows7用户密码,正好忘记了电脑的密码。oclHashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPGPU规则引擎,免费多GPU(高达128个GPU),多哈希...
不知不觉已经2015了,高中时代那时对网络非常感兴趣,那时我上网都是玩黑客工具和学习黑客电脑知识,游戏那时候玩梦幻也是一边玩,后来高中毕业了连游戏也不玩,现在只留下对windows的兴趣了。本人一路走过来已经在这条技术路上已经10年了。现在我不知道是不是以后会不会有技术上突破,我想要是再不突破可能这...
计算机技术的迅速发展,为违法犯罪分子提供了新的作案平台和犯罪手段,特别是随着加密技术和无痕技术的普及,传统的电子取证手段面临巨大挑战,有些如已被删除、加密或破坏的有价值电子证据获取起来的难度加大。内存取证技术的发展在一定程度上弥补了传统的离线取证技术的不足,通过内存镜像的分析,调阅当前正在内存中运行...
在我们的生活中,存在的许许多多的漏洞,下面向大家介绍的就是平时比较常见的栈溢出漏洞的实践过程。我们将用一个非常简单的例子让大家对栈溢出漏洞有个直观的认识。下面是一个简单的密码验证程序,因为代码不严密,导致了栈溢出漏洞的产生。#includestdio.h#includestring.h#de...
Intel-VT(VirtualizationTechnology,虚拟化技术)的产生是为了解决纯软件虚拟化解决方案在可靠性、安全性和性能上的不足,亦可以认为是硬件虚拟化技术。而近些年,VT在安全领域内也体现出了很重要的研究价值。应用Intel-VT可以在一台计算机内运行多个操作系统(虚拟机),并可...
