利用伪造内核文件来绕过IceSword的检测

创建时间：2005-12-20 文章属性：转载 文章提交： (nimaozhi_at_163.com) 作者：倪茂志 邮件：backspray008@gmail.com 完成于：2005.12.20

一般隐藏进程的方法实际是无法彻底隐藏进程，因为内核调度是基于线程的。下面介绍我实现的一种更隐蔽的隐藏进程的方法。我们知道线程调度内核使用3条调度链表KiWaitInListHead=0x80482

介绍通用Hook的一点思想： 在系统内核级中，MS的很多信息都没公开，包括函数的参数数目，每个参数的类型等。在系统内核中，访问了大量的寄存器，而很多寄存器的值，是上层调用者提供的。如果值改变系

前言 在程序的执行过程中，因为遇到某种障碍而使 CPU 无法最终访问到相应的物理内存单元，即无法完成从虚拟地址到物理地址映射的时候，CPU 会产生一次缺页异常，从而进行相应的缺页异常处理。基于

这个漏洞发生在SYMDNS.SYS中，当处理DNS答复时，由于未检验总域名长度，导致可以输入一超长域名导致溢出，溢出发生在RING0、IRQL = 2(DISPATCH_LEVEL)、 进程PID

没实现非安全返回法一，因为里面的技术要点都包括在安全返回法和非安全返回法二里了。主要就是那个BAT的下载文件的内容，可以参见相关文章。这篇文章是建立我之前写过的SYMANTEC防火墙内核溢出利用之

原来根据FLASHSKY大牛在峰会上的报告分析了这个漏洞写了两篇随笔，，因为写得仓促，里面难免有不少错漏，朋友建议我汇总一下，也方便日后参考，于是把两篇文章汇总并做了些修改。 这个漏洞与大多数

SYMANTEC防火墙内核溢出漏洞利用之安全返回法 SYMANTEC防火墙内核溢出漏洞利用之安全返回法 作者:SoBeIt 来自:https://www.xfo

简介 ------------ 加载模块是linux中非常有用而又很重要的一项技术, 因为它可以使你在你需要的时候加载设备的驱动程序。 然而, 也有它坏的一面: 它使内核hacking非常容易

作者:SoBeIt 来自:https://www.xfocus.net 这个漏洞发生在SYMDNS.SYS中，当处理DNS答复时，由于未检验总域名长度，导致可以输入一超长域名导致溢出，溢出发生