危险漫步今天给大家带来一款软件SecretDataManager(简称SCM)这款独特的安全软件,可以毫不费力的实现机密文件的深度隐藏,这个方法要比之前介绍的的利用软件隐藏文件要实用的多了。当初次使用SCM时,会自动弹出添加账户窗口。在其中的“UserName”栏中输入用户名,在“Passwo...
写PE查看器并不是很复杂的事情,只要按照PE结构一步一步的解析就可以了,下面简单的解析其中几个字段内容,显示一下节表的信息,写PE查看器。PE查看器的界面就按照如图4-26所示的那样来设置,不过这个可以按照个人的偏好进行设置,编写该PE查看器的步骤为打开文件并创建文件内存映像,判断文件是否为PE文件...
驱动都是要加载入内核的,我们要做的很多事情也需要在内核下完成,要想在内校中实现功能就需要编写驱动模块。提到驱动可能会想到硬件,大家可能会简单地认为驱动程序是控制硬件设备的。在Windows下驱动并不单单是用来控制硬件设备的。Windows-操作系统_中的驱动程序可以创建虚拟设各,也可以与设备无关。W...
本文介绍Windows下进程的EPROCESS结构,并针对该结构中的两个双向链表,给出一种检测隐藏进程的方法。FPROCFSS结构中的双向链表对于VVindows下的每一个进程,系统都会给它分配个excutiveprocess(EPROCESS)block。该结构包含和指向一系列其他相关的数据结...
虽然应用程序处在操作系统的用户态,而驱动程序处在操作系统的内核态,但是他们之间是必须通信的,应用成的执行都是依赖于操作系统内核的。创建设备在编写驱动程序的时候,主函数的入口函数是DRiventey()函数,该函数有一个参数为PDRIVER_OBJECT类型,是指向驱动对象的指针的,为了能够使驱动程序...
在前面的内容中曾经实现过一个枚举过程中被加载DLL文件的函数,接下来要实现一个 枚举进程的函数。枚举进程不能在用户态下进行,需要到内核态下进行,这样就必须使用驱动程序来完成。先用WinDbg完成一次手动的枚举过程,再通过代码来完成。使用VMWARE和WINDBG进行驱动调试使用Windb...
现在的加密软件可谓林林总总,不过其大多采用单一加密算法,其安全性并不高。如果我们能够另辟蹊径,让多种加密算法"联手"运作,就可以打造出坚不可摧的加密包。借助于这次危险漫步带来的CryptoForge和EasyEncryptor这两款软件,实现上述想法一点都不难。使用Crypto...
Windows下的可执行程序有着复杂的文件结构,同样PE结构是由若干个复杂的结构体组合而成的,不单单是一个结构体那么简单,就像磁盘结构体一样,磁盘结构同样是非常多的结构体组成的,PE结构包含的结构体有DOS头,PE标识,文件头,可选头,目录结构,节表等,要掌握PE结构,必须对PE结构有一个整体上的认...
操作系统环境:Windows7目标程序:一大堆压缩壳保护的程序目标程序总大小:494KB工具:Dintal-OD、PEID、ImportREC前言软件的壳子分为压缩壳和加密壳,这次我们一起来探讨下压缩壳,单看名字大家应该会知道压缩壳用来干嘛的吧?没错,压缩壳就是用来压缩软件用的,因此它侧重的是把软...
在PSDK的头文件Winnt.h中,包含了PE文件结构的定义格式,PE头文件分为32位和64位,64为的PE结构是对32位的PE结构为了扩展,这里主要讨论32位的PE文件结构,对于64为的PE文件结构大家可以自行查阅资料进行学习。DOS头部详解IMAGE_DOS_HEADER对于一个PE文件来说,最...
