最近一直在开发的软件,泄露点
传说中搞病毒防火墙,其实就是ring3全局钩子+API hook,没什么新意,但是很有分量。比如实时监控,以前根本没有做过,光写逻辑图就画了一张纸。。。可能还有更简洁的方式通知DLL但是我不知道吧,反正用了文件内存映射。最大的收获就是对系统基层运行过程的了解,消息机制,爽死了,越写越精神,要不是眼睛疼还不卧倒呢!但愿能有一个好的结果。
忙了有段时间了,终于见到轮廓了,感觉不错。先上几张图!
blackfeather 2009/6/11 ℃ 0评论
API HOOK的一些收集
最近在搞API HOOK的相关操作,收集了一个很牛的模块,不敢独享,发出来!
可能有人看出来了这个不是VB,呵呵确实,这个就是传说中的powerbasic
调用方式,先 #INCLUDE "HookApi.Inc" ,然后···发个例子吧
#COMPILE EXE
#DIM ALL
...
blackfeather 2009/2/3 ℃ 0评论
加载驱动 -- VB
使用VB来加载驱动,不多解释了。用的是最简单,最原始的注册表加载的方法。
代码如下:
Option Explicit
Private Const STATUS_IMAGE_ALREADY_LOADED =
Private Const HKEY_CLASSES_ROOT =
...
blackfeather 2008/11/26 ℃ 1评论
使用WININET的函数写下载功能 -- VB
现在杀毒软件对URLDOWNTOFILEA这个API查的是越来越严了,无论我怎么加密,动态调用等等就是被查出来。哎,我还不会很底层的东西,老老实实使用wininet的API写了一个下载的FUNCTION。感觉倒是很爽!
简单列一下遇到的主要问题:
1、InternetReadFile这个函数原型是
Declare Function InternetReadFile Lib "wininet.dll" (ByRef hFile As Long,ByVal sBuffer As String, ByVal dwNumberOfBytesToRead As Long, ByRef lpdwNumberOfBytesRead As Long)as integer
...
blackfeather 2008/11/25 ℃ 2评论
通过API HOOK 创建SYSTEM用户进程 -- VB
普通用户建立SYSTEM权限的进程,在桌面扔了好久了,发出来晾晾!
代码如下:
clsHookInfo.cls
VERSION 1.0 CLASS
BEGIN
MultiUse = -1 'True
...
blackfeather 2008/11/19 ℃ 0评论
远程注入/卸载/自我删除(RtlCreateUserThread) -- VB
原文地址:http://blog.csdn.net/chenhui530/archive/2008/10/21/3119107.aspx 作者:chenhui530(大仙级人物)
最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西,可以创建远程线程,也可以用来写多线程程序,但是在VB里好像还是不是很稳定只能用API。
...blackfeather 2008/11/16 ℃ 0评论
SSDTView 带恢复功能 -- VB
blackfeather 2008/11/9 ℃ 0评论
使用NtQueryDirectoryFile遍历文件/目录
作者:chenhui530
原文地址是:http://blog.csdn.net/chenhui530/archive/2008/07/22/2692962.aspx
初学者可以学习下VB的指针操作,和NT系列函数的使用方法。 (相对于陈辉大哥,我就是初学者···)
...blackfeather 2008/10/17 ℃ 0评论
牛X到家的VB进程间通讯演示代码
很老很老的一份代码,但是感觉牛B的赶上驴了··· 学习共享内存映射的时候看这个感觉太爽快了。在我的电脑里放了有段时间了,放出来晒晒太阳!~~
作者:AdamBear(熊超)
VB进程间通讯演示(1.0)
...
blackfeather 2008/10/15 ℃ 1评论
一个很强大的killprocess - VB
结束进程有N^N种方法,比较常见的就是openprocess 然后terminateprocess,
hPro = OpenProcess(1&, -1&, pid)
TerminateProcess hPro, 0&
...blackfeather 2008/10/15 ℃ 0评论