SuperDriver Project
SUPERDRIVER 简介什么是SuperDriver?SuperDriver是一种以内核模式运行的驱动(KMDF),为某些程序提供编程接口,接口主要涉及: 进程操作
阅读更多
KEYBOARD FSD HOOK
KEYBOARD FSD HOOK说明:技术仅供学习使用,如恶意利用,与作者无关!技术简介上一篇文章我们讲了NTFS FSD HOOK其实,它不只这些功能,他可以拦截键盘输入,拦截Create请求等等….其代码也十分模板化,只需要ObRef
2020-04-06
NTFS FSD HOOK
NTFS FSD HOOK说明:技术仅供学习使用,如恶意利用,与作者无关!原理简介还记得我们的DeviceIoControl的分发函数嘛?在Windows下,所有的API都会经过某个驱动的某个MajorFunction.我们只要更改这个Ma
2020-04-04
一些对学习WINDOWS内核编程有帮助的国外站点(不断更新)
查资料:http://msdn.microsoft.com(谷歌搜索关键字,后加site:msdn.microsoft.com)
源码站:https://github.comhttp://www.codeproject.comhttp://
2020-04-01
绕过安全模式,加载驱动
在安全模式加载驱动说明:技术仅供学习使用,如恶意利用,与作者无关!最近,我试图弄清楚如何以Windows安全模式启动其他服务。我有一个用户,他的笔记本电脑在登录时一直崩溃,我快速浏览了一下,想到了一些理论,但是正常运行时间很重要,因此,作为
2020-03-23
驱动级操作进程
在内核里操作进程说明:技术仅供学习使用,如恶意利用,与作者无关!
在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几
2020-03-20
驱动隐藏MBR
驱动隐藏MBR说明:技术仅供学习使用,如恶意利用,与作者无关!技术简介就是拦截MiniPort的请求,查看请求的LDR是不是0,(Read时)是0就将SystemBuffer填充成我们伪造的MBR,直接返回,不是就放行.至于Write时,就
2020-03-18
关机的N种方法
关机的N种方法说明:技术仅供学习使用,如恶意利用,与作者无关!1.无意中看到一种通过控制92H端口bit0位,将其置1来实现重启的方法,刚才测试了一下,效果真好
mov al, 01
out 92h, al2.另一种,模拟键盘的reset
2020-03-16
SuperDriver Project
SUPERDRIVER
简介什么是SuperDriver?SuperDriver是一种以内核模式运行的驱动(KMDF),为某些程序提供编程接口,接口主要涉及:
进程操作
进程结束
强制进程结束 *:内存清零
进程隐藏
进程保护
2020-03-12
驱动模块隐藏
X64枚举和隐藏内核模块说明:技术仅供学习使用,如恶意利用,与作者无关!在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中
2020-03-12
驱动级强制结束进程
驱动级监控进程说明:技术仅供学习使用,如恶意利用,与作者无关!依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以
2020-03-12
驱动级监控进程
技术讲解说明:技术仅供学习使用,如恶意利用,与作者无关!
有时候我们希望能够动态监视系统中任意进程/线程的创建与销毁。为了达到此目的我翻阅了 DDK 手册,发现其提供的 PsSetCreateProcessNotifyRoutine(),P
2020-03-11
驱动注册表回调(监控注册表)
回调监控注册表说明:技术仅供学习使用,如恶意利用,与作者无关!
在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK。不过用 SSDT HOOK的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系
2020-03-11