正文內(nèi)容

[計算機軟件及應(yīng)用]麥洛克菲內(nèi)核驅(qū)動開發(fā)第七課-資料下載頁

2025-01-19 17:40本頁面

　　

【正文】 ParseObject)。 } else { // // NtOpenKey // status = CmpCallCallBacks(RegNtPreOpenKeyEx,(PREG_OPEN_KEY_INFORMATION)(amp。PreCreateInfo),TRUE,RegNtPostOpenKeyEx,ParseObject)。 } if( !NT_SUCCESS(status) ) { // 返回到哪里去了 ObpLookupObjectName return status。 } } BEGIN_LOCK_CHECKPOINT。 kcb = ((PCM_KEY_BODY)ParseObject)KeyControlBlock。 Callback 原理：注冊的函數(shù)什么時間調(diào)用 N t O p e n K e yN t C r e a t e K e yO b O p e n O b j e c tB y N a m eO b p L o o k u p O b je c t N a m eP a r s e P r o c e d u ceP h a s e 1 I n i t i a l i z at i o nC m p C a l l C a l l B ac k sC m p P a r s e K e yC m p C r e a t e O b j ec t T y p e sC m I n i t S y s t e m 1N t x x x K e yh a n d l e 已經(jīng) 生成C m p C a l l C a l l B ac k s練習(xí) ? ? ? ? 4. file 的回調(diào)分析注冊表的構(gòu)成注冊表的構(gòu)成注冊表的類型注冊表與文件對應(yīng)關(guān)系注冊表的調(diào)用關(guān)系 o p e n k e yN t O p e n K e yZ w O p e n k e yC m p P a r s e K e yr i n g 3 h o o k r i n g 3 層 i n l i n es s d t ， i n l i n e ， i a t ，e a t ， f a s t e n t r yo b j e c t h o o k重定向方案 ? hook 需要 x64的 hook 引擎 Sandboxie hook + callback Win2022 x32 以下 hook Win2022 以上 callback 卡巴 AVAST 等其他的一切對象替換重定向方案建議 1,2種 2種內(nèi)核的，要有大量的工作要做，兼容性不太好。采取第一的簡單，但是容易被繞過過濾策略 ? 一當(dāng)有寫操作的時候過濾 ? 二先查找 sandbox 里面的 ,如果沒有在查找外面的 ? 三合并枚舉 ,去重 ,然后得到真實的個數(shù) ,注意枚舉的索引 ? 四復(fù)制 key 的屬性 :時間 ,流注意事項注意事項 : ? ? ? ? ? ? 等跨進程調(diào)用注意事項 ? 還回原始的文件名字 ? 一般不建議過濾內(nèi)核的請求，同級對抗虛擬化注意事項 ? 從這個方面來看在應(yīng)用層比較好 wow的進程查詢的時候再查詢一次虛擬化注意事項 ? ? 不過濾來自內(nèi)核的請求虛擬化注意事項 ? 6 RPC 等跨進程調(diào)用接管服務(wù)， DCOM， RPC等跨進程通訊的手段，或者自己做個 loader 基準(zhǔn)測試 ? Notepad ? regedit ? 瀏覽器操作 ? 安裝程序操作其它工具 ? 基準(zhǔn)測試程序 ? Procmon ? 第三方注冊表測試查看工具補充知識 ? 注冊表穿透在系統(tǒng)初始化的時候 .window直接使用內(nèi)置一個微型文件系統(tǒng)支持對文件的讀寫 ,對注冊表的讀寫 ,這時還沒有從正常的文件讀寫流程，主要用在 boot驅(qū)動寫入啟動項。作系統(tǒng)還原的時候 ,會導(dǎo)致文件寫穿透。這個地方要注意 : 解決辦法 : Hook int3 控制讀寫

點擊復(fù)制文檔內(nèi)容

教學(xué)課件相關(guān)推薦

[計算機軟件及應(yīng)用]七個工具-資料下載頁

【總結(jié)】全質(zhì)量·零缺陷七個工具課程概述一、檢查表二、層化三、帕萊托圖四、因果圖五、5Why六、對策表（7W3H）七、OPL（OnePointLesson）課程概述一、檢查表二

2025-02-20 19:51

[計算機軟件及應(yīng)用]軟件詳細設(shè)計-資料下載頁

【總結(jié)】周蘇教授QQ:81505050軟件工程學(xué)教程第二版第5章軟件詳細設(shè)計?結(jié)構(gòu)化構(gòu)造?圖形設(shè)計工具?偽碼與程序設(shè)計語言(PDL)?各種詳細設(shè)計工具的比較?詳細設(shè)計文件與復(fù)審第5章軟件詳細設(shè)計?概要設(shè)計完成了程序的總體結(jié)構(gòu)設(shè)計，規(guī)定了各個模塊的功能及各模塊之

2025-03-22 02:03

[計算機軟件及應(yīng)用]計算機信息檢索講座-資料下載頁

【總結(jié)】（第一講）第一章計算機信息檢索語言第一節(jié)計算機信息檢索的原理文獻記錄文獻型數(shù)據(jù)庫事實型數(shù)據(jù)庫數(shù)值型數(shù)據(jù)庫術(shù)語型數(shù)據(jù)庫計算機檢索提問查獲命中文獻第二節(jié)計算機信息檢索語言的種類?分類語言?檢索詞語言第三節(jié)檢索詞檢索的基本方法一、布爾邏輯檢索1

2025-01-04 22:34

[計算機軟件及應(yīng)用]計算機組成原理-資料下載頁

【總結(jié)】第三章處理器處理器的指令集處理器的組成與工作過程CISC和RISC80x86系列微處理器3.1處理器的指令集22:31:203.1.1概述人們與計算機交流所用的“詞匯”叫做“指令(Instruction)”，所有可以采用的“詞匯”組成的集合叫做“指令集

2025-01-08 03:04

[計算機軟件及應(yīng)用]軟件設(shè)計-理論課-資料下載頁

【總結(jié)】軟件體系結(jié)構(gòu)SoftwareArchitecture教學(xué)內(nèi)容2主題教學(xué)內(nèi)容主題教學(xué)內(nèi)容（一）概述（三）軟件體系結(jié)構(gòu)（二）設(shè)計模式(四)其他2.……軟件體系結(jié)構(gòu)風(fēng)格（2

2025-01-04 20:00

[計算機軟件及應(yīng)用]軟件開發(fā)生命周期-資料下載頁

【總結(jié)】2022/2/16大連海事大學(xué)0軟件工程與項目管理第三章軟件項目生命周期模型2022/2/16大連海事大學(xué)1本章要點?一、生存期模型定義?二、常用生存期模型?三、案例分析2022/2/16大連海事大學(xué)2建筑工程類項目典型生存期模型2022/2/16大連海事

2025-01-19 17:40

[計算機軟件及應(yīng)用]project應(yīng)用培訓(xùn)-資料下載頁

【總結(jié)】Copyright?SieyuanElectricCo.,Ltd.AllRightsReserved.Project應(yīng)用培訓(xùn)SieyuanElectricCopyright?SieyuanElectricCo.,Ltd.AllRightsReserved.1一、?項目（Proje

2025-02-21 21:14

[計算機軟件及應(yīng)用]數(shù)據(jù)挖掘-資料下載頁

【總結(jié)】第六章統(tǒng)計類數(shù)據(jù)挖掘和知識類數(shù)據(jù)挖掘?設(shè)計數(shù)據(jù)挖掘模型?數(shù)據(jù)挖掘方法論?構(gòu)造和使用數(shù)據(jù)挖掘模型?統(tǒng)計類數(shù)據(jù)挖掘?統(tǒng)計分析類數(shù)據(jù)挖掘技術(shù)?統(tǒng)計分析工具?統(tǒng)計分析工具應(yīng)用?知識類數(shù)據(jù)挖掘?知識發(fā)現(xiàn)系統(tǒng)的一般結(jié)構(gòu)

2024-10-19 04:11

[計算機軟件及應(yīng)用]netbios-資料下載頁

【總結(jié)】WindowsSDKSUP-4NetBIOS網(wǎng)絡(luò)編程技術(shù)課程描述NetBIOS（NETworkBasicInput/OutputSystem，網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)）定義了一種軟件接口以及在應(yīng)用程序和連接介質(zhì)之間提供通信接口的標(biāo)準(zhǔn)方法。它可以提供名字服務(wù)、會話服務(wù)和數(shù)據(jù)庫服務(wù)，基于NetBIOS的比較典型的應(yīng)用是獲

2024-10-16 23:59

[計算機軟件及應(yīng)用]spring簡介-資料下載頁

【總結(jié)】第三章SpringAOP2什么是AOP?為了理解AOP，請思考如下需求：?角色：上帝，人（每個人都有大腦）?現(xiàn)在上帝希望知道每個人的想法，請用面向?qū)ο蟮姆椒ń鉀Q3設(shè)計登場角色?上帝，只有一個publicclassGod{/***上帝的讀心術(shù)*@paramm

2024-10-16 23:14

[計算機軟件及應(yīng)用]excel大全-資料下載頁

【總結(jié)】ClerkOffice2022TrainingMaterial文員Office2022培訓(xùn)教材Exceltrainingmanual-IntermediateMaterialExcel培訓(xùn)手冊—中級班教材2使用公式?公式中的運算符?公式中的運算順序?引用單元格創(chuàng)建公式?

2024-12-08 02:22

[計算機軟件及應(yīng)用]dac培訓(xùn)-資料下載頁

【總結(jié)】1DAC培訓(xùn)吉貝克信息技術(shù)(廣州)有限公司2022年4月2培訓(xùn)大綱什么是DACDAC用戶界面DAC框架結(jié)構(gòu)如何部署InformaticaWorkflow其他功能調(diào)度設(shè)計與監(jiān)控1112131415

2025-02-20 16:14

[計算機軟件及應(yīng)用]認識結(jié)構(gòu)-資料下載頁

【總結(jié)】常見結(jié)構(gòu)的認識你聽過的關(guān)于結(jié)構(gòu)的詞語？原子結(jié)構(gòu)房屋結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu)人體結(jié)構(gòu)……文章結(jié)構(gòu)結(jié)構(gòu)無處不在大自然是最完美的設(shè)計師立體六角形薄壁,結(jié)構(gòu)巧妙、堅固耐用瑞士的喬爾吉?朵青期（Geesdemestral）工程師十分酷愛郊游與

2025-02-21 00:40

[計算機軟件及應(yīng)用]數(shù)組(2)-資料下載頁

【總結(jié)】第六章數(shù)組程序設(shè)計C語言程序設(shè)計物理與電子工程學(xué)院王美紅Email:C程序涉及物理與電子工程學(xué)院王美紅2第7章數(shù)組內(nèi)容提要：★一維數(shù)組★二維數(shù)組和多維數(shù)組★字符數(shù)組★應(yīng)用舉例C程序涉及物理與電子工

2025-03-22 02:04

[計算機軟件及應(yīng)用]excel-資料下載頁

【總結(jié)】《計算機應(yīng)用基礎(chǔ)》課件-電子表格Excel2022學(xué)習(xí)目標(biāo)Excel表格的數(shù)據(jù)輸入和編輯、圖表的制作打印、函數(shù)的使用等Excel2022?第一章Excel2022中文版基礎(chǔ)?第二章Excel2022基本操作?第三章工作表的建立與編輯?第四章工作表中數(shù)值計算?第五章

2025-01-19 17:25