Windows程序设计-游戏安全实验室

发新帖

Windows程序设计

Windows内核及安全开发技术交流

主题数 19

今日贴子 0

今日主题 0

1：

全部应用层编程驱动编程

游戏安全攻防(端游游戏外挂编写)学习路线图

[…]0基础的建议看科锐的课程吧，上面的内容基本都涵盖了自己找不到的话可以联系我

admin 2022-9-17

9.37k 22 10 3天前 · admin
解决WDK7里没有intrin.h的问题驱动编程

Theme: Solve the problem of missing "intrin.h" in WDK7.Thema: Lösen das Problem des fehlenden "intrin.h" in WDK7.WDK7有个奇怪的BUG，如果在C语言的驱

大理寺少卿 8天前

35 0 0
进程隐藏(防蓝屏版)

#include // 未导出函数// 用于增加或删除驱动链表中的某一元素typedef VOID(*pMiProcessLoaderEntry)( IN PVOID DataTableEntry, IN LO

admin 2022-9-26

1.37k 2 1 1月前 · kai741101314
分享别人写的老代码，驱动保护进程

#include #include #include #include #include "declare.h" #

委员长 2022-9-26

2.43k 35 1 2月前 · jinwei26
驱动隐藏

我们可以通过未导出的函数 MiProcessLoaderEntry 将驱动从驱动链表中移除其次再将驱动的痕迹擦去，一般来说可以过Ark工具(此方法唯一的缺点就是无法卸载驱动和无法使用异常处理函数)0环驱动代码include // 未

admin 2022-9-26

1.13k 1 0 7月前 · gs666
VS2013+WDK8.1 驱动开发环境配置驱动编程

Windows Driver Kit 是一种完全集成的驱动程序开发工具包，它包含 WinDDK 用于测试 Windows 驱动器的可靠性和稳定性，本次实验使用的是 WDK8.1 驱动开发工具包，该工具包支持 Windows 7到Windows 10 系统的驱动开发。驱动WD

大理寺少卿 9月前

689 2 1 8月前 · gusong125
内核测试模式过DSE签名驱动编程

微软在 x64 系统中推出了 DSE 保护机制，DSE全称 (Driver Signature Enforcement) ，该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证，当驱动程序被加载到内存时会验证签名的正确性，如

大理寺少卿 9月前

628 0 0
WinDBG 配置内核双机调试驱动编程

WinDBG 是在 windows 平台下，强大的用户态和内核态调试工具，相比较于 Visual Studio 它是一个轻量级的调试工具，所谓轻量级指的是它的安装文件大小较小，但是其调试功能却比VS更为强大，WinDBG由于是微软的产品所以能够调试 Windows 系

大理寺少卿 9月前

575 0 0
windbg常用命令总结驱动编程

Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器，支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序，还可以进行Kernel Debug。结合Microsoft的Symbol Server，可以获取系统符号文件，

大理寺少卿 9月前

509 0 0
WIN64系统上定位未导出的Zw函数

WIN64（2003、7、8、8.1）系统上所有nt!Zw函数，都是32个字节：2003=======lkd>u nt!zwopenfile l bnt!ZwOpenFile:fffff800`0102a4d0 488bc4

admin 2022-10-3

758 0 0
数字签名禁用了系统还是提醒一些内容

解决方案，注册表，本地组策略，1.首先还是把禁用数字签名的两种方案写上以管理员运行cmd输入bcdedit.exe -set ladoptios DDISABLE_INTEGRITY_CHECKSbcdedit.exe -set TESTS

猥来 2022-10-1

758 0 0
枚举IDT表

include define WORD USHORTdefine DWORD ULONGdefine MAKELONG(a, b) ((LONG)(((WORD)(((DWO

admin 2022-9-26

777 0 0
HOOK KiFastCallEntry代码

include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntryVOID OnUnload( IN PDRIVER_O

委员长 2022-9-26

801 0 0
科普一下在驱动中如何调用Zw***未导出函数

1.申请一块长达31字节的可执行NonPagedPool内存2.从ZwOpenProcess的起始地址开始复制31字节到上面Buffer3.修正标蓝的代码（计算出KiServiceLinkage和KiServiceInternal的地址，并填入正确的shellcode）4.

委员长 2022-9-26

859 0 0
RING3 64位进程注入DLL到32位进程

只需要拿到32位的kernel32!LoadLibraryA，然后使用普通手段（CreateRemoteThread）注入即可。typedef struct _IAT_EAT_INFO{char ModuleName[256];char FuncName[64];

委员长 2022-9-26

1.08k 0 0
Ring3全局禁止进程创建(x64)

LPVOID AddressOfCreateProcess=NULL;BYTE OriCode[3]={0x0,0x0,0x0};BYTE NewCode[3]={0x90,0xc3,0x90};void HookCreateProcess(HAND

委员长 2022-9-26

784 0 0
一份兼容32位和64位的MmGetSystemRoutineAddressEx实现

获得任意模块任意导出函数的地址，不再受限于MmGetSystemRoutineAddress的鸡肋功能。代码从WRK里摘出。PVOID MiFindExportedRoutine2(IN PVOID DllBase,PIMAGE_EXPORT_DIRECTORY

委员长 2022-9-26

710 0 0
遍历系统中所有的驱动对象

原理首先我们要知道驱动加载后, 会向对象目录表中的\driver 与\FileSystem 写入驱动服务名, 那么我们只需要遍历这两张表拿到名称, 通过ObReferenceObjectByName函数即可获取驱动对象。而在这里我们可以使用微软

admin 2022-9-26

953 1 0 2022-9-26 · 妮妮
无句柄获取进程路径（无硬编码/代码10行/兼容WIN64）

首先明确一个事实，EPROCESS内部的一个成员（这里应该说是“EPROCESS的成员的成员的成员的成员”更为准确）名为FileObject，它记录了进程的路径。通过IoQueryFileDosDeviceName查询FileObject的信息即可获得进程路径。所以，获取进

admin 2022-9-26

986 0 0
Windows内核编程学习路线及书籍推荐

[login]

委员长 2022-9-18

1.4k 0 1