关于Sysenter.Kifastcallentry.中断之类的内核入口hook技术早就烂大街了,可是对hook的检测与恢复代码却是寥寥无几,一切抛开代码将原理的行为都是耍流氓. 下面以Sysenter hook技术为例子,重点分析下这类钩子的检测与恢复技术. Sysenter简述 : Windows2000以前用int 2e作为中断指令进入内核发起系统调用.从Windows2000以后,准确的说是Pentium II处理器开始,为了避免int 2e指令对模式切换的巨大开销,Intel引入了一对…

阿里系产品Xposed Hook检测机制原理分析 导语: 在逆向分析android App过程中,我们时常用的用的Java层hook框架就是Xposed Hook框架了.一些应用程序厂商为了保护自家android App不被Xposed Hook框架给hook.于是想尽各种方法检测自己产品是否被Xposed Hook给Hook.笔者最近逆向分析阿里系的产品,发现阿里系的产品能够检测自否给Xposed Hook了.本文就带领给位一起看看官阿里系产品是如何做的这一点的,本文就选择阿里的支付宝作为我们…

软件名称: 手工杀毒辅助软件(PC Hunter) 软件语言: 简体中文 授权方式: 免费软件 运行环境: Win 32位/64位 软件大小: 4.7MB 图片预览: 软件简介: PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马 支持的系统: 32位的2000.XP.2003.Vista.2008.Win7.Win8.Win8.1操作系统 64位的Win7.Win8.Win8.1操作系…

软件名称: XueTr 0.45 (手工杀毒辅助工具)软件语言: 简体中文授权方式: 免费软件运行环境: Win7 / Vista / Win2003 / WinXP 软件大小: 3.3MB图片预览: 软件简介:一个强大的手工杀毒辅助工具,支持32位的2000.xp.2003.vista.2008和Win7操作系统. 目前实现如下功能:1.进程.线程.进程模块.进程窗口.进程内存.定时器.热键信息查看,杀进程.杀线程.卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT.S…

catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动程序12. 劫持现有Service的启动DLL13. Reflective DLL injection…

原文发表于百度空间及看雪论坛,2009-10-14 看雪论坛地址:https://bbs.pediy.com/thread-99460.htm 刚发这篇文章的时候,因为内容涉及360的核心产品,文章被雪藏了一段时间========================================================================== Author:achillisblog :https://www.cnblogs.com/achillis/ 上一篇的分析中漏掉了三个函…

写在前面 cassandra3.x官方文档的非官方翻译.翻译内容水平全依赖本人英文水平和对cassandra的理解.所以强烈建议阅读英文版cassandra 3.x 官方文档.此文档一半是翻译,一半是个人对cassandra的认知.尽量将我的理解通过引用的方式标注,以示区别.另外文档翻译是项长期并有挑战的工作,如果你愿意加入cassandra git book,可以发信给我.当然你也可以加入我们的QQ群,104822562.一起学习探讨cassandra. Gossip Gossip 是一个对等…

android hook分为另种: native层hook---理解ELF文件 java层---虚拟机特性和Java上的反射的作用 注入代码: 存放在哪? 用mmap函数分配临时内存来完成代码存放,对于函数的寻找需要用到目标地址空间解析和ELF解析 如何注入? 用ptrace函数attach上目标进程 发现装载共享库so函数 装载指定的.so 让目标进程的执行流程跳转到注入的代码执行 使用ptrace函数的detach释放咪表进程 注入动态共享库: 如何附着在目标进程?---内核函数ptrace…

原文:http://news.160.com/?p=1890 在玩游戏中 经常 出现显示器驱动程序 NVIDIA Windows Kernel Mode Driver Version 已停止响应 并且己成功恢复  报错下面提供几种方法可以快速排除这类问题原因 (如上图 NVIDIA Windows Kernel Mode Driver ) 显示器驱动程序已停止响应 并且已成功恢复 出现这种情况的原因大概因素有如下几种: 驱动问题:如驱动不合适,驱动冲突.没有正确安装等驱动原因 硬件问题:新配置的…

Atitit.线程 死锁 跑飞 的检测与自动解除 与手动解除死锁 java c# .net php javascript. 1. 现象::主程序卡住无反应,多行任务不往下执行 1 2. 原因::使用jv jprofile查看线程,原来俩个线程死锁了.. 1 3. Java的缺点,默认不能自动解除死锁 1 4. 自动检测与解除死锁::使用看门狗watchdog 2 4.1. 死锁检测算法(太麻烦,不推荐) 2 4.2. 硬件看门狗 2 4.3. 软件看门狗的实现--TIMER 2 4.4. LIN…