Japan WDK Support Blog - Site Home - MSDN Blogs
日本マイクロソフト株式会社の DDK/WDK サポートチームの blog です。 Japan WDK Support Blog 終了のお知らせ こんにちは、Windows Driver Kit サポートチームです。 2019 年1 月をもちまして、弊社システム刷新の都合により、本Blog を終了いたします。... Author: jpwdkblg Date: 12/26/2018 Authenticode 署名のドライバインストールのトラブルシューティングの一例 Authenticode 署名のドライバインストールのトラブルシューティングの一例をご紹介します。... Author: jpwdkblg Date: 09/27/2018 プリンタードライバーの GPD ファイル記述に関する注意事項 今回は Universal プリンタードライバーにて記述を行う GPD ファイルの記述に関する注
Mark's Blog
Mark Russinovich's technical blog covering topics such as Windows troubleshooting, technologies and security. Hunting Down and Killing Ransomware Scareware, a type of malware that mimics antimalware software, has been around for a decade and... Author: Mark Russinovich Date: 01/02/2013 Windows Azure Host Updates: Why, When, and How Windows Azure’s compute platform, which includes Web Roles, Worker
detoursが復元なしで元関数を呼び出す仕組み - やや温め納豆
以前、単純なJMP方式のフックとして紹介したやり方は、元関数を呼び出すために一時アンフックするという実装だった。 図解するとこう。 1.初期状態 2.ExitProcessフック実施後。関数の先頭5バイトがNewExitProcessへのJMPに改竄される。 3.ExitProcessが呼び出された。即座にNewExitProcessにJMPする。 4.NewExitProcessでフックを解除する。これによりExitProcessの先頭5バイトは復元される。 5.NewExitProcessでExitProcessを呼び出す。ExitProcessは実行を完了しNewExitProcessに制御を返す*1 6.NewExitProcessでフックを実施する。 でも問題があって、アンフックしている最中に別スレッドがExitProcessを呼び出すと、当然ながらNewExitProcessを
Mark's Blog
Mark Russinovich's technical blog covering topics such as Windows troubleshooting, technologies and security. Hunting Down and Killing Ransomware Scareware, a type of malware that mimics antimalware software, has been around for a decade and... Author: Mark Russinovich Date: 01/02/2013 Windows Azure Host Updates: Why, When, and How Windows Azure’s compute platform, which includes Web Roles, Worker
2008-12-16
「Win32ddなどでメモリダンプした場合と、クラッシュダンプでダンプファイルを作成した場合で、取得できる情報に差異があるのか?」というご質問をいただきましたが、勉強不足で不明な部分もあるので後から調べるようにメモ。 スライドに入れてなかったのですが、OSの管理外領域のメモリと言えばよいんでしょうか?、を RAM ディスクとして利用可能なツールとしては Gavotte Ramdisk が有名みたいですね。 Gavotte Ramdisk まとめWIKI - トップページ http://www10.atwiki.jp/gavotterd/ Gavotte RamdiskでWindowsXP 32bit メモリ4G越え!! http://d.hatena.ne.jp/sona-zip/20080509 【特別レポート】32bit Windowsの管理外領域をRAM Diskに使う http:/
Microsoft – クラウド、コンピューター、アプリ & ゲーム
本体とキーボードがついて、通常の合計販売価格より 24,640 円もお得なセット 。数量限定。ご購入はお早めに。
KENJI
更新履歴 DNS拡張EDNS0の解析 Linuxカーネルをハッキングしてみよう Windowsシステムプログラミング Part 3 64ビット環境でのリバースエンジニアリング Windowsシステムプログラミング Part2 Windowsシステムプログラミング Part1 Contents インフォメーション 「TCP/IPの教科書」サポートページ 「アセンブリ言語の教科書」サポートページ 「ハッカー・プログラミング大全 攻撃編」サポートページ ブログ(はてな) BBS メール このサイトについて テキスト 暗号 詳解 RSA暗号化アルゴリズム 詳解 DES暗号化アルゴリズム crypt() アルゴリズム解析 MD5 メッセージダイジェストアルゴリズム crypt() アルゴリズム解析 (MD5バージョン) TCP/IP IP TCP UDP Header Format(IPv4) Ch
Windowsシステムプログラミング Part3
はじめに このテキストは、Windowsシステムに関するプログラミングを中心に記述している。カーネルランドのデバッグ、SYSENTER、SYSEXITなどを中心に解説している。 SYSENTER 「Windowsシステムプログラミング Part2」にて、「SYSENTERはユーザーランドとカーネルランドを繋ぐ命令であり、これをフックできる」ことを述べた。そして、SYSENTER実行時に以下の処理が走ることを書いた。 // sysenter実行時の処理内容 1. CSレジスタにSYSENTER_CS_MSR(MSR-174H)の値をロード 2. EIPレジスタにSYSENTER_EIP_MSR(MSR-176H)の値をロード 3. SSレジスタにSYSENTER_CS_MSRの値に8を加算した値をロード 4. ESPレジスタにSYSENTER_ESP_MSR(MSR-175H)の値をロード
Windowsシステムプログラミング Part2
はじめに このテキストは、Windowsシステムに関するプログラミングを中心に記述している。WinDbgの導入、カーネルランドのデバッグ、SYSENTERの解析などを中心に解説している。 WinDbgの導入 カーネルランドで動作するプログラムをデバッグするには、カーネルモードデバッガが必要となる。Windows環境でのカーネルモードデバッガは、SoftICEとWinDbgが有名だが、SoftICEは販売停止となったため、このテキストでは、WinDbgを使うことにする。まず、実行用と解析用で、マシンを2台と、それらを繋ぐシリアルクロスケーブルを用意する。 マシンを2台用意する(実行用と解析用) シリアルクロスケーブルで2台のマシンを繋ぐ(COM1使用) 実行用マシンに適当なOSをインストール(自分はWinXPSP2使用) 実行用マシンにインストールされているOSの「C:\boot.ini」を
Windowsシステムプログラミング Part1
はじめに このテキストは、Windowsシステムに関するプログラミングを中心に記述している。他プロセスへのコード注入、APIフック、サービス制御マネージャ、カーネルレベルプログラミング、任意のコードの隠蔽などを中心に解説している。 任意のコードを別のプロセスへ注入する方法 http://www.codeproject.com/threads/winspy.asp 上記のサイトには「任意のコードを別のプロセスへ注入する方法」として、3つ の手法が紹介されている。 SetWindowsHookExを用いてグローバルフックし他プロセスへDLLをマッピング CreateRemoteThreadとLoadLibraryを使い他プロセスへDLLをマッピング CreateRemoteThreadとWriteProcessMemoryを使い他プロセスへコードを注入 1と2に関しては、任意のコードをDLLと
アセンブラとPEフォーマットとマシン語の注入
はじめに 私は以前、任意のプログラムを他プロセスへ注入する「DLLインジェクション」のテクニックを紹介しました。このテクニックについての詳細は「常駐プログラム隠蔽テクニック」を参照してください。 さて、この「DLLインジェクション」は、任意のプログラムを現在実行中の他プロセスへ注入し、他プロセスの一部としてこちら側が用意したプログラムを実行させるテクニックでした。これはとても面白く、任意のプロセスの情報を取得するための手法としてはSetWindowsHookExと同じくらい強力であり、かつ、実行したいプロセスの隠蔽という目的においても利用できるものでした。しかし、これはあくまでも実行中のプロセスへ注入したわけであり、EXEファイル自体を書き換えたわけではありません。よって、例えば、そのプロセスが何かしらの理由で強制終了し、再度起動された場合、もう一度、任意のプログラムの注入処理をほどこさな
Windows API Hooking Tutorial
はじめに Windowsアプリケーションは、通常APIを利用することによって実現されています。たとえ.NETやMFCなどを利用して作成されたプログラムであったとしても、内部的にはすべてWindowsAPIが呼び出され処理されているというのは周知の事実です。プログラムがWindows上で動作している限り、何かしらのカタチでAPIが使われていることは確かなのです。では、今回はそのAPIをフックすることを考えてみます。「Wizard Bible vol.15」の「リバースエンジニアリング」にて、私はAPIフックについて少しだけ触れましたが、今回はそのAPIフックについてのさらに深い話題となります。あらかじめ必要な知識は、Windowsプログラミングに多少の知識があることと、特にDLL関連に詳しいことです。あと「Wizard Bible vol.10」の「常駐プログラム隠蔽テクニック」も読んでおい
Three Ways to Inject Your Code into Another Process
How to inject code into another processes address space, and then execute it in the context of this process. Download entire package - 157.31 KB Download WinSpy - 20 KB (demo application) Contents Introduction Windows Hooks The CreateRemoteThread & LoadLibrary Technique Interprocess Communications The CreateRemoteThread & WriteProcessMemory Technique How to Subclass a Remote Control With this Tech
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Learn: Build skills that open doors in your career
Microsoft Learn: Build skills that open doors in your career
Microsoft Learn: Build skills that open doors in your career
x86 Disassembly/Microsoft Windows - Wikibooks, collection of open-content textbooks
Mark's Blog
Matthieu Suiche | Cybersecurity Topics & Ethical Hacking Tutorials)
Boot Time Registry Activity