Minifilter是一种文件过滤驱动，该驱动简称为微过滤驱动，相对于传统的sfilter文件过滤驱动来说，微过滤驱动编写时更简单，其不需要考虑底层RIP如何派发且无需要考虑兼容性问题，微过滤驱动使用过滤管理器FilterManager提供接口，由于提供了管理结构以及一系列管理API函数，所以枚举过滤驱动将变得十分容易。 通常文件驱动过滤是ARK重要功能之一，如下是一款闭源ARK工具的输出效果图。 由于MiniFilter提供了FltEnumerateFilters函数，所以只需要调用这些函数即可获取到所有的过滤器地址，我们看下微软公开的信息。 NTSTATUSFLTAPIFltEnum...

在笔者上一篇文章《内核枚举进程与线程ObCall回调》简单介绍了如何枚举系统中已经存在的进程与线程回调，本章LyShark将通过对象回调实现对进程线程的句柄监控，在内核中提供了ObRegisterCallbacks回调，使用这个内核回调函数，可注册一个对象回调，不过目前该函数只能监控进程与线程句柄操作，通过监控进程或线程句柄，可实现保护指定进程线程不被终止的目的。 ObRegisterCallbacks是Windows操作系统提供的一个内核API函数，它允许开发者注册一个回调函数，用于监控对象的创建、打开、关闭和删除等事件。对象可以是文件、目录、进程、线程、注册表键等等。 当操作系统创建、打...

在笔者上一篇文章《内核监视LoadImage映像回调》中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载，注意我这里用的是监视而不是监控之所以是监视而不是监控那是因为PsSetLoadImageNotifyRoutine无法实现参数控制，而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现，如下LyShark将解密如何实现屏蔽特定驱动的加载。 要想实现驱动屏蔽其原理很简单，通过ImageInfo->ImageBase得到镜像基地址，然后调用GetDriverEntryByImageBase函数来得到程序的入口地...

同步模式下的结构体传输与原生套接字实现方式完全一致，读者需要注意的是在接收参数是应该使用socket.read_some函数读取，发送参数则使用socket.write_some函数实现，对于套接字的解析同样使用强制指针转换的方法。 服务端代码如下所示 include<iostream> include<boost/asio.hpp> typedefstruct { intuuid; charuname[1024]; }message; usingnamespaceboost::asio; intmain(intargc,charargv[]) { io_serv...

异或加密是一种对称加密算法，通常用于加密二进制数据。异或操作的本质是对两个二进制数字进行比较，如果它们相同则返回0，如果不同则返回1。异或加密使用一把密钥将明文与密文进行异或运算，从而产生密文。同时，使用相同的密钥进行解密将返回原始的明文数据。在异或加密中，加密和解密使用的是相同的密钥。因此，它是一种对称加密算法。由于其简单性和效率，其经常用于嵌入式系统中。 首先实现服务端部分，在服务端中我们通过实现Makecode函数，其可用于将特定的一段字符串异或处理，在本案例中服务端通过传入一段加密后的字符串以及一个pkey密钥对，则可实现解密操作，当服务端接收到结构体后，可直接使用该函数对数据包进行解...

IDAPro是一种功能强大且灵活的反汇编工具，可以在许多领域中发挥作用，例如漏洞研究、逆向工程、安全审计和软件开发等，被许多安全专家和软件开发者用于逆向工程和分析二进制代码。它支持大量的二进制文件格式和CPU架构，并提供了强大的反汇编和反编译功能。使用IDAPro，用户可以查看和编辑汇编代码、查看函数和程序结构，并分析代码执行逻辑和漏洞。此外，IDAPro还具有脚本编程和插件扩展功能，使用户能够轻松自定义和改进其功能。 IDA官方网站：https://hex-rays.com/ IDA的启动非常简单，只需要双击打开ida.exe即可，打开后读者可看到如下图所示的提示界面，当然读者如果需要逆向...

IDAPro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构，并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性，许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程，以提高效率和准确性。 在IDA中如果读者按下Shift+F2则可调出脚本编辑器，如下图所示，其中左侧代表当前脚本的名称列表，右侧则代表脚本的具体实现细节，底部存在三个菜单，第一个按钮是运行脚本，第二个按钮是覆盖导入脚本，第三个则是追加导入，他们之间的功能个有不同，...

IDAPro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构，并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性，许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程，以提高效率和准确性。 在IDA中如果读者按下Shift+F2则可调出脚本编辑器，如下图所示，其中左侧代表当前脚本的名称列表，右侧则代表脚本的具体实现细节，底部存在三个菜单，第一个按钮是运行脚本，第二个按钮是覆盖导入脚本，第三个则是追加导入，他们之间的功能个有不同，...

Base64是一种二进制到文本的编码方案，用于将二进制数据转换为ASCII字符串格式。它通过将二进制数据流转换为一系列64个字符来工作，这些字符都可以安全地传输到设计用于处理文本数据的系统中。 如下代码中我们使用Boost中提供的base64_from_binary头文件实现两个函数，其中Base64Decode函数接收一个字符串并对其进行解压缩操作输出解密后的原始字符串内容，其次Base64Encode函数用于将一个原始数据包压缩处理，有了这两个函数的支持，我们只需要在调用发送函数之前对数据进行压缩，在接收数据后在使用对等的函数对其进行解压缩即可，如下是该案例的完整实现。 服务端代码如下所示...

OpenSSL是一种开源的加密库，提供了一组用于加密和解密数据、验证数字证书以及实现各种安全协议的函数和工具。它可以用于创建和管理公钥和私钥、数字证书和其他安全凭据，还支持SSL/TLS、SSH、S/MIME、PKCS等常见的加密协议和标准。 OpenSSL的功能非常强大，可以用于构建安全的网络通信、加密文件和数据传输，还可以用于创建和验证数字签名、生成随机数等安全应用。它被广泛用于Web服务器、操作系统、网络应用程序和其他需要安全保护的系统中。 官方地址:https://slproweb.com/products/Win32OpenSSL.html 如上所示的链接则是该库的官方网站，读者...

CRC文件校验是一种用于验证文件完整性的方法，通过计算文件的CRC值并与预先计算的CRC校验值进行比较，来判断文件是否发生变化，此类功能可以用于验证一个目录中是否有文件发生变化，如果发生变化则我们可以将变化打印输出，该功能可用于实现对特定目录的验证。 首先实现文件与目录的遍历功能，递归输出文件或目录，在Python中有两种实现方式，我们可以通过自带的os.walk函数实现，也可以使用os.listdir实现，这里笔者依次封装两个函数，函数ordinary_all_file使用第一种方式，函数recursion_all_file使用第二种，这两种方式都返回_file列表，读者可使用列表接收输出数...

RSA算法是一种非对称加密算法，由三位数学家Rivest、Shamir和Adleman共同发明，以他们三人的名字首字母命名。RSA算法的安全性基于大数分解问题，即对于一个非常大的合数，将其分解为两个质数的乘积是非常困难的。 RSA算法是一种常用的非对称加密算法，与对称加密算法不同，RSA算法使用一对非对称密钥，分别为公钥和私钥，公钥和私钥是成对生成的，公钥可以公开，用于加密数据和验证数字签名，而私钥必须保密，用于解密数据和生成数字签名。因此，RSA算法的使用场景是公钥加密、私钥解密，或者私钥加密、公钥解密。 OpenSSL库中提供了针对此类算法的支持，但在使用时读者需要自行生成公钥与私钥文件，...

Web服务器本质上是一个提供Web服务的应用程序，运行在服务器上，用于处理HTTP请求和响应。它接收来自客户端（通常是浏览器）的HTTP请求，根据请求的URL、参数等信息生成HTTP响应，并将响应返回给客户端，完成客户端的请求。Web服务器可以使用多种编程语言和技术实现，通过对套接字的处理并遵循HTML等浏览器兼容格式即可实现。 如果需要自行实现一个Web服务器则本质上就是需要完成套接字的处理，并在处理时增加遵循HTTP格式的头部数据即可，如下是一个简单的支持Web服务器的套接字程序，该程序运行后会在本机的80端口侦听，当用于通过浏览器访问时则会自动传输一段话。 importsocket d...

组播模式相比单播模式可以提高网络的效率和带宽利用率，因为组播数据包只需要发送一次，就可以被多个接收者接收，而不需要每个接收者都单独发送一份数据包。这在需要同时向多个接收者发送相同数据的场景下特别有用，如视频会议、在线教育、流媒体等。组播模式可以减少网络拥塞，降低网络延迟，并且可以减少网络中的冗余数据。 通过构建组播服务器端与客户端，并配合键盘鼠标控制接口，当服务器端执行一个操作时客户端同步执行，通过此方法读者可轻易的实现一个简单的镜像服务器，当服务器规模庞大而主机系统版本相同时，该功能可实现服务器端执行一次客户端即可实现批量部署的效果。 先来看服务端是如何实现的功能，首先服务端定义umsg结构...

WSASocket无管道正向CMD，使用WSASocket函数创建一个TCP套接字，并绑定到一个本地地址和端口上。然后使用CreateProcess函数创建一个新的CMD进程，并将标准输入、输出和错误输出重定向到套接字的句柄上。这样，客户端可以通过网络连接到这个套接字，发送CMD命令并获取命令输出结果。这种方式称为无管道正向CMD，因为CMD进程的输入输出是通过套接字而非管道进行的。 WSASocket函数用于创建重叠IO套接字，重叠I/O（OverlappedI/O）是一种异步I/O（AsynchronousI/O）机制，它可以在执行I/O操作时同时进行其他的操作或处理，提高了系统的并发性和...

Ping使用Internet控制消息协议（ICMP）来测试主机之间的连接。当用户发送一个ping请求时，则对应的发送一个ICMPEcho请求消息到目标主机，并等待目标主机回复一个ICMPEcho回应消息。如果目标主机接收到请求并且网络连接正常，则会返回一个回应消息，表示主机之间的网络连接是正常的。如果目标主机没有收到请求消息或网络连接不正常，则不会有回应消息返回。 Ping工作的步骤如下： Ping发送一个ICMPEcho请求消息到目标主机。 目标主机接收到请求消息后，检查消息中的目标IP地址是否正确，并回复一个ICMPEcho回应消息表示收到请求。 Ping接收到回应消息后，并计算从发送到...

网络上的文件传输功能也是很有必要实现一下的，网络传输文件的过程通常分为客户端和服务器端两部分。客户端可以选择上传或下载文件，将文件分块并逐块发送到服务器，或者从服务器分块地接收文件。服务器端接收来自客户端的请求，根据请求类型执行对应的操作，并根据发送的文件名或其他标识来确定要传输的文件。 在实现文件传输之前，需要先打开要传输的文件，并获取文件的大小信息，也可以通过其他方式获取文件的信息。在客户端和服务器端都准备就绪后，可以通过套接字来发送文件数据。在传输文件的过程中，可以将文件分解为若干个数据包进行传输，以减少数据传输中的丢包或传输错误。每个数据包的长度可以根据实际情况进行选择，通常选择102...

首先我们来实现一个DNS查询功能，该功能的目的是传入一个网站域名自动将该域名解析为对应的IP地址，该功能的实现依赖于gethostbyname函数，该函数将主机名作为参数，并返回一个指向hostent类型结构的指针，结构包含有关主机的信息。结构包含许多字段，其中最重要的是h_name和h_addr_list。h_name是主机名，h_addr_list是一个指向具有主机IP地址的地址列表的指针。 hostent是一个结构体，用于存储主机的基本信息，包括主机名、主机别名、IP地址类型和地址列表等。 它的定义一般类似于以下： structhostent{ charh_name;/官方主机名/ ch...

在笔者之前的文章《驱动开发：内核特征码搜索函数封装》中我们封装实现了特征码定位功能，本章将继续使用该功能，本次我们需要枚举内核LoadImage映像回调，在Win64环境下我们可以设置一个LoadImage映像加载通告回调，当有新驱动或者DLL被加载时，回调函数就会被调用从而执行我们自己的回调例程，映像回调也存储在数组里，枚举时从数组中读取值之后，需要进行位运算解密得到地址。 我们来看一款闭源ARK工具是如何实现的： 如上所述，如果我们需要拿到回调数组那么首先要得到该数组，数组的符号名是PspLoadImageNotifyRoutine我们可以在PsSetLoadImageNotifyRou...

特征码定位技术的应用非常广泛，我们所熟知的杀毒软件的查杀原理多半是基于特征码定位技术实现查杀的，在外挂技术领域特征码定位主要用于，版本的通杀，制作一键基址获取器，动态地址的定位等。 同样的提取特征码也需要尽量找变化比较小的，并具有唯一性标志的汇编指令片段，像是call或者大跳转，一般而言我们不能用它作为特征码。 遍历技巧： 打开CE->搜索类型选择字节类型->在植物亮的状态时搜索1 拿起植物->搜0->放下植物搜1->拿起植物搜0->一直重复->地址一般在最后面 1.首先你要通过上面的遍历技巧找到这个动态地址，将其锁定1后植物即可无限种植，效果如...