2020年1月13日星期一

Mini-filter的资源的引用计数的泄露一例

2: kd> g [FltMgr] Mini-filter verification enabled for "MagicArmorDrv" filter. FILTER VERIFIER ERROR:   A filter (Filter = F...
2019年1月19日星期六

没有对应驱动文件的系统线程

/* 早在2014.10.22都已经写过一个失败的隐藏系统线程的代码. 现在看来,当时失败在函数的处理上,里面有很多无效/非法的指令. 这几天突然看到: https://github.com/tandasat/MemoryMon.git https://github.com/...
2018年5月1日星期二

手工替换进程的令牌

标题:在内核调试器下给进程提权. 前言: 安全的一个重要话题是权限. 对于操作系统而言,其重要的安全就是两个: 1.进程(用户)自身的权限,即令牌. 2.对象自身的权限,如:文件,注册表,进程,线程,互斥体等. 3.以及和上面相关的结构. 但是对于CPU来说还有另外一个概念...

手工分析进程的句柄表

对象体由执行体管理 对象头由对象管理器管理器 句柄由进程的句柄表维护。 0: kd> $实验环境是: 0: kd> vertarget Windows 8 Kernel Version 9200 MP (4 procs) Free x64 Produ...

枚举ObRegisterCallbacks注册的信息

2: kd> dt nt!_OBJECT_TYPE poi(nt!PsProcessType)    +0x000 TypeList         : _LIST_ENTRY [ 0xffff8481`f02d7350 - 0xffff8481`f02d7350 ] ...
2018年4月28日星期六

minifilter驱动的静态分析

前言: 有不少的minifilter驱动是可以用IDA静态分析的,但是如何分析呢? 做过minifilter驱动的都知道FltRegisterFilter的第二个参数是关键。 如果分析呢?也就是如何定义这个参数的类型呢? 思路有三: 1.导入头文件,这个最省事,但...