Windows编程-游戏安全实验室

发新帖

Windows编程

Windows内核及安全开发技术交流

主题数 18

今日贴子 0

今日主题 0

全部

应用层编程

驱动编程

游戏安全攻防(端游游戏外挂编写)学习路线图

[…]

admin 2022-9-17

7.89k 19 9 24天前 · gg666
分享别人写的老代码，驱动保护进程

#include #include #include #include #

委员长 12月前

1.85k 34 1 7天前 · hehe51
驱动隐藏

我们可以通过未导出的函数 MiProcessLoaderEntry 将驱动从驱动链表中移除其次再将驱动的痕迹擦去，一般来说可以过Ark工具(此方法唯一的缺点就是无法卸载驱动和无法使用异常处理函数)0环驱动代码include

admin 12月前

833 1 0 5月前 · gs666
VS2013+WDK8.1 驱动开发环境配置驱动编程

Windows Driver Kit 是一种完全集成的驱动程序开发工具包，它包含 WinDDK 用于测试 Windows 驱动器的可靠性和稳定性，本次实验使用的是 WDK8.1 驱动开发工具包，该工具包支持 Windows 7到Windows 10 系统的驱动开发。驱动WD

大理寺少卿 6月前

440 2 1 5月前 · gusong125
进程隐藏(防蓝屏版)

include // 未导出函数// 用于增加或删除驱动链表中的某一元素typedef VOID(pMiProcessLoaderEntry)(IN PVOID DataTableEntry,IN LOGI

admin 12月前

984 1 1 6月前 · gs666
内核测试模式过DSE签名驱动编程

微软在 x64 系统中推出了 DSE 保护机制，DSE全称 (Driver Signature Enforcement) ，该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证，当驱动程序被加载到内存时会验证签名的正确性，如

大理寺少卿 6月前

391 0 0
WinDBG 配置内核双机调试驱动编程

WinDBG 是在 windows 平台下，强大的用户态和内核态调试工具，相比较于 Visual Studio 它是一个轻量级的调试工具，所谓轻量级指的是它的安装文件大小较小，但是其调试功能却比VS更为强大，WinDBG由于是微软的产品所以能够调试 Windows 系

大理寺少卿 6月前

337 0 0
windbg常用命令总结驱动编程

Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器，支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序，还可以进行Kernel Debug。结合Microsoft的Symbol Server，可以获取系统符号文件，

大理寺少卿 6月前

292 0 0
WIN64系统上定位未导出的Zw函数

WIN64（2003、7、8、8.1）系统上所有nt!Zw函数，都是32个字节：2003=======lkd> u nt!zwopenfile l bnt!ZwOpenFile:fffff800`0102a4d0 488bc4

admin 11月前

540 0 0
数字签名禁用了系统还是提醒一些内容

解决方案，注册表，本地组策略，1.首先还是把禁用数字签名的两种方案写上以管理员运行cmd输入bcdedit.exe -set ladoptios DDISABLE_INTEGRITY_CHECKSbcdedit.exe -set TESTS

猥来 11月前

518 0 0
枚举IDT表

include define WORD USHORTdefine DWORD ULONGdefine MAKELONG(a, b) ((LONG)(((WO

admin 12月前

546 0 0
HOOK KiFastCallEntry代码

include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntryVOID OnUnload( IN

委员长 12月前

574 0 0
科普一下在驱动中如何调用Zw***未导出函数

1.申请一块长达31字节的可执行NonPagedPool内存2.从ZwOpenProcess的起始地址开始复制31字节到上面Buffer3.修正标蓝的代码（计算出KiServiceLinkage和KiServiceInternal的地址，并填入正确的shellcode）4.

委员长 12月前

624 0 0
RING3 64位进程注入DLL到32位进程

只需要拿到32位的kernel32!LoadLibraryA，然后使用普通手段（CreateRemoteThread）注入即可。typedef struct _IAT_EAT_INFO{char ModuleName[256];char FuncName[64];

委员长 12月前

801 0 0
Ring3全局禁止进程创建(x64)

LPVOID AddressOfCreateProcess=NULL;BYTE OriCode[3]={0x0,0x0,0x0};BYTE NewCode[3]={0x90,0xc3,0x90};void HookCreateProcess(HAND

委员长 12月前

560 0 0
一份兼容32位和64位的MmGetSystemRoutineAddressEx实现

获得任意模块任意导出函数的地址，不再受限于MmGetSystemRoutineAddress的鸡肋功能。代码从WRK里摘出。PVOID MiFindExportedRoutine2(IN PVOID DllBase,PIMAGE_EXPORT_DIRECTORY

委员长 12月前

474 0 0
遍历系统中所有的驱动对象

原理首先我们要知道驱动加载后, 会向对象目录表中的\driver 与\FileSystem 写入驱动服务名, 那么我们只需要遍历这两张表拿到名称, 通过ObReferenceObjectByName函数即可获取驱动对象。而在这里我们可以使用微软

admin 12月前

708 1 0 12月前 · 妮妮
无句柄获取进程路径（无硬编码/代码10行/兼容WIN64）

首先明确一个事实，EPROCESS内部的一个成员（这里应该说是“EPROCESS的成员的成员的成员的成员”更为准确）名为FileObject，它记录了进程的路径。通过IoQueryFileDosDeviceName查询FileObject的信息即可获得进程路径。所以，获取进

admin 12月前

733 0 0
Windows内核编程学习路线及书籍推荐

[login]

委员长 2022-9-18

1.12k 0 1

Windows编程

游戏安全攻防(端游游戏外挂编写)学习路线图

分享别人写的老代码，驱动保护进程

驱动隐藏

VS2013+WDK8.1 驱动开发环境配置 驱动编程

进程隐藏(防蓝屏版)

内核测试模式过DSE签名 驱动编程

WinDBG 配置内核双机调试 驱动编程

windbg常用命令总结 驱动编程

WIN64系统上定位未导出的Zw函数

数字签名禁用了系统还是提醒一些内容

枚举IDT表

HOOK KiFastCallEntry代码

科普一下在驱动中如何调用Zw***未导出函数

RING3 64位进程注入DLL到32位进程

Ring3全局禁止进程创建(x64)

一份兼容32位和64位的MmGetSystemRoutineAddressEx实现

遍历系统中所有的驱动对象

无句柄获取进程路径（无硬编码/代码10行/兼容WIN64）

Windows内核编程学习路线及书籍推荐

Windows编程

热门搜索