逆向工程笔记3
作者:Gmxp 日期:2008-09-16
程序代码逆向工程笔记2
作者:Gmxp 日期:2008-09-11
逆向工程笔记1
作者:Gmxp 日期:2008-09-11
逆向工程笔记0
作者:Gmxp 日期:2008-09-10
冠锁2.11完成,可以暂时降低它的优先级了。
记得刚刚学驱动的时候,在驱网看到某牛人逆向卡巴斯基驱动的部分代码时,对他的敬仰犹如XX长江,XX不绝。现在更进一步的了解之后,才越发深刻的认识到,牛人们逆向水平无一不是长期的训练中沉淀,累积下来的。
没有了四,六级呵大部分课程的压力,现在终于可以静下心来学习技术了。昨天和今天(应该时前天和昨天)看了很久黑防的汇编基础课程,今天(应该时昨天)晚上花了一个多小时,终于逆向出Win下一个很简单的API,SetLastError(),接着完成了一个入门级的Crackme,我终于向逆向工程迈开了第一步。
刚刚写日志时开到一条有趣的留言,有人说突破了冠锁2的驱动保护了,我只是想说,没有绝对安全的技术,随着时间的推移,驱动所有的漏洞都将一个个被修复,非常欢迎你一年以后再来试试突破它。冠锁2所采用的技术,已经比市面上99%的同类软件安全不知道多少倍,对于绝大多说普通用户甚至时系统管理员已经足够。
记得刚刚学驱动的时候,在驱网看到某牛人逆向卡巴斯基驱动的部分代码时,对他的敬仰犹如XX长江,XX不绝。现在更进一步的了解之后,才越发深刻的认识到,牛人们逆向水平无一不是长期的训练中沉淀,累积下来的。
没有了四,六级呵大部分课程的压力,现在终于可以静下心来学习技术了。昨天和今天(应该时前天和昨天)看了很久黑防的汇编基础课程,今天(应该时昨天)晚上花了一个多小时,终于逆向出Win下一个很简单的API,SetLastError(),接着完成了一个入门级的Crackme,我终于向逆向工程迈开了第一步。
刚刚写日志时开到一条有趣的留言,有人说突破了冠锁2的驱动保护了,我只是想说,没有绝对安全的技术,随着时间的推移,驱动所有的漏洞都将一个个被修复,非常欢迎你一年以后再来试试突破它。冠锁2所采用的技术,已经比市面上99%的同类软件安全不知道多少倍,对于绝大多说普通用户甚至时系统管理员已经足够。
Tags: 逆向工程
My Windows Vol.1
作者:Gmxp 日期:2008-08-07
用Windows不知道多少年了,学习Windows的时间也不短了。我终于发现自己对Windows越来越有感觉了。
这些天在重写冠锁2的驱动程序时遇到的很多问题,我都可以自己独立解决了,调用未导出(或者叫未公开)的函数,甚至是下发IRP查询这些我原来想都不敢想的技术难点。
仔细算算,我从接触RING0到现在,已经近一年了。还记得那段痛并快乐着的时光:去年八月回学校上课之前,在上海火车站候车室第一次看楚狂人写的《Windows文件过滤驱动开发(第二版)》的情形,从火车站看完关闭笔记本到回到镇江的3个小时之间,我的头一直是晕晕的;开学后,我用了两个星期才搭建好RING0开发的平台;在之后很长一段时间里面,我基本上只能抄书上的示例代码,因为那是我甚至一行RING0的代码都不会;期间还在DriverDevelop的论坛上面问了几个现在看来很傻的问题(当然,那时候没有人理我的问题- -!);后来11月要开始写冠锁2的驱动程序(第一版)时,我才下定决心开始写代码,那时写代码就像没有学过语言的人写出来的代码;开始开发的很长一段时间里,我写的驱动程序5分钟只能必定蓝屏。
很多人说RING0难,其实最难的是入门。学了近一年了,很庆幸,我终于入门了。
当你最难以坚持的时候,往往是离曙光最近的时候。再坚持一下,彩虹就在前方。
这些天在重写冠锁2的驱动程序时遇到的很多问题,我都可以自己独立解决了,调用未导出(或者叫未公开)的函数,甚至是下发IRP查询这些我原来想都不敢想的技术难点。
仔细算算,我从接触RING0到现在,已经近一年了。还记得那段痛并快乐着的时光:去年八月回学校上课之前,在上海火车站候车室第一次看楚狂人写的《Windows文件过滤驱动开发(第二版)》的情形,从火车站看完关闭笔记本到回到镇江的3个小时之间,我的头一直是晕晕的;开学后,我用了两个星期才搭建好RING0开发的平台;在之后很长一段时间里面,我基本上只能抄书上的示例代码,因为那是我甚至一行RING0的代码都不会;期间还在DriverDevelop的论坛上面问了几个现在看来很傻的问题(当然,那时候没有人理我的问题- -!);后来11月要开始写冠锁2的驱动程序(第一版)时,我才下定决心开始写代码,那时写代码就像没有学过语言的人写出来的代码;开始开发的很长一段时间里,我写的驱动程序5分钟只能必定蓝屏。
很多人说RING0难,其实最难的是入门。学了近一年了,很庆幸,我终于入门了。
当你最难以坚持的时候,往往是离曙光最近的时候。再坚持一下,彩虹就在前方。
Detours
作者:Gmxp 日期:2008-07-19
最近在研究一个项目需要使用到的API HOOK时,Google一下时发现了一个非常好用的API HOOK工具,微软的Detours。与其说是工具,倒不如说是一个开源的library。
Detours属于Microsoft Research的一个项目,最新版本是2.1,分为Professional和Express版本,和Visual Studio一样,Professional是收费的,而Express虽然免费,但是功能大受限制。其实我认为版本1.5反而更加好用,1.5里面不仅是免费的,而且还有所有的library的源代码,方便研究Detours的内部机制;但是2.1更先进,解决了一些1.5无法实现的问题,如无法重复HOOK。
好东西要共享,提供下载~
[点击下载Microsoft Detours 1.5](595.05KB)
Detours属于Microsoft Research的一个项目,最新版本是2.1,分为Professional和Express版本,和Visual Studio一样,Professional是收费的,而Express虽然免费,但是功能大受限制。其实我认为版本1.5反而更加好用,1.5里面不仅是免费的,而且还有所有的library的源代码,方便研究Detours的内部机制;但是2.1更先进,解决了一些1.5无法实现的问题,如无法重复HOOK。
好东西要共享,提供下载~
[点击下载Microsoft Detours 1.5](595.05KB)
[转]盖茨退休前留给职场青年的十句警言
作者:Gmxp 日期:2008-07-15
原创的文章被《黑客防线》发表啦
作者:Gmxp 日期:2008-07-08
最近在研究一个RING0和RIN3应用程序交换的问题,前前后后查了不少资料后成功的完成了,觉得挺有心得的,便用心整理了一下技术,写成了一篇名为《多线程安全的简易主动防御技术的实现》的文章,然后投稿到《黑客防线》-我最喜欢的技术型月刊。
今天得到黑客防线的回复,我的文章将在八月份的《黑客防线》上发表!呵呵,开心死啦~
由于《黑客防线》投稿的一些规定,文章暂时不能放上来,过些时候再放吧。
最近在写RING3应用程序的时候一直觉得可以调试是很奢侈的,因为在写RING0驱动时,基本不会去想调试的事。Windbg的实时调试功能,不到没有任何办法了我是决定不会去用它的。牢骚发完,继续coding。
