系统安全二进制安全C/C++ [2024]愚蠢的windows进程隐藏技术 几年前(4年前?) 在看雪上看到一个驱动壳用了改PID的方法隐藏自己进程,今天看到一个rootkit也在用一样的办法隐藏自己,突然想起来回旋镖打中自己,所以趁自己还没忘记的时候记录一下 这些隐藏自己的进程的原理是, ```cpp EPROCESS->UniqueProcessId ``` 是不受到保护的,可以改成任意进程的 如 ```cpp *(uin64_t)((char*)process + 0x440) = winlogon_pid; 这样你都是进程会是winlogon在任务管理器里面 ``` 另外大部分usermod的API,比如openprocess,在R3是dword,而UniqueProcessId是一个dword64的结构体,也就是说内核可以完美处理64位的东西,R3不能,所以你也可以把要隐藏进程的UniqueProcessId设置为64位的PID. **这样会让你的进程在用户模式下完全不可见** 而内核则很好的兼容 edit: 2020年的时候发过这个方法,不过是线程的 https://key08.com/index.php/2020/11/03/801.html 看雪那个是山总的壳 阅读全文 2024-04-08 huoji 0 条评论
二进制安全C/C++ [2024]基于C++的混淆壳(三) shellcode与oep编写 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 处理原来老的区段 处理PE入口点 阅读全文 2024-03-13 huoji 0 条评论
二进制安全C/C++ [2024]基于C++的混淆壳(二) IAT隐藏 ### 做壳步骤 创建区段 遍历所有指令 识别指令类型 加花/混淆/处理跳转表 阅读全文 2024-03-08 huoji 0 条评论
java二进制安全一线开发 [2024]HotSpotVirtualMachine.java self attach check function Vulnerabilitie HotSpotVirtualMachine.java 阅读全文 2024-02-22 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
二进制安全一线开发 [2023]profsvc.dll!CreateTempDirectoryForUser导致开机卡慢以及开机黑屏但是过一会就好了的问题 **profsvc.dll!CreateTempDirectoryForUser**在win1809后增加了一个功能,用于标记是否可以删除 hard是不能删除 soft是可以删除 然后他开机时候 给temp这个文件夹设置了soft代表当磁盘空间不足时候可以删除这些文件 **但是设置的实现方法是递归遍历目录打标记.** 因此你的windows临时目录和用户临时目录的文件数量决定了开机速度 **但是有一个例外** 所有的安全软件总是会在minifilter中的precreate或者postcreate地方匹配自己的规则.而本来就因为临时文件过多导致的卡的问题,结果再结合安全软件在匹配规则导致了更卡. 这就是为什么小红伞/卡巴斯基/火绒/360等安全软件 有在某些机器上开机黑屏卡慢的问题. 解决方法:清理临时文件 在11月的时候也有人发现了这个问题: https://zhuanlan.zhihu.com/p/667566995 阅读全文 2023-12-16 huoji 0 条评论
