**:
//得到系統核心模組基址
dword foundsystemmodule(bool bkernel,char *sysfilename)
} else
if(bkernel)
for (i=0;(pmodules->dwnumberofmodules)>i;i++)
}return 0;
}typedef struct _old_fsd
old_fsd,*pold_fsd;
old_fsd oldfsd[20];
byte fatfalg[3]=;
byte ntfsfalg[3]=;
//搜尋fastfat.sys或ntfs.sys中的特徵**,得到原始的fsd,並儲存在結構陣列中oldfsd中
bool getoldfsd(punicode_string filename,dword filesysbase,bool bfalg)
; byte id;
dword dwid;
dword address;
int j;
status=zwopenfile(&hfile, file_execute | synchronize, &oa, &iosb, file_share_read, file_synchronous_io_nonalert);
if(!nt_success(status))
oa.objectname = 0;
status=zwcreatesection(&hsection, section_all_access, &oa, 0,page_execute, sec_image, hfile);
if(!nt_success(status))
status=zwmapviewofsection(hsection, ntcurrentprocess(), &lpbase, 0, 1000, 0, &size, (section_inherit)1, mem_top_down, page_readwrite);
if(!nt_success(status))
zwclose(hfile);
imagebase=getimagebase(lpbase);
if(imagebase==0)
code=(char *)lpbase;
if(bfalg)
code+=2;;
id=*(byte*)code;
code++;
address=*(dword*)code;
oldfsd[j].address=address-imagebase+filesysbase;
oldfsd[j].id=(dword)id;
oldfsd[j].id=(oldfsd[j].id>>2)-0xe;
code+=4;
}
}code++;}}
else
code+=2;;
id=*(byte*)code;
code++;
address=*(dword*)code;
oldfsd[j].address=address-imagebase+filesysbase;
oldfsd[j].id=(dword)id;
oldfsd[j].id=(oldfsd[j].id>>2)-0xe;
code+=4; }}
code++;}}
return false;
}//寫入fsd
bool setfsd(punicode_string objectname)
for(i=0;i<20&&oldfsd[i].address;i++)
(ulong)driverobject->majorfunction[oldfsd[i].id]=oldfsd[i].address;
_a**
dbgprint("irp_id:%x/n",oldfsd[i].id);}}
return true;
}//判斷系統中有哪些格式的分割槽,還原fsd
void resetfsd()
kernelbase=foundsystemmodule(false,"ntfs.sys");
if(kernelbase!=0)
}只需要呼叫resetfsd()函式就可以輕鬆恢復恢復fsd了,在xp sp2,瑞星2008下測試通過
以上**只供技術研究,,莫用於非法用途。。。。。
80 紅藍對抗 AWD模式 準備 攻防 監控 批量
思維導圖 awd 常見比賽規則說明 前期準備 必備操作 本課重點 案例1 防守 部署 waf 實現第一時間攔截部分攻擊 公升級後續版 最快第一時間操作,此類技術核心準備為各個環境的 waf 部署 原始碼語言,比賽規則 涉及資源 案例2 防守 掃瞄後門 實現第一時間利用預留後門攻擊 公升級指令碼版 最...
Linux檔案監控
如果要讓伺服器保持最佳效能,你應該將 linux 伺服器的執行級別 runlevel 設定為 3 就是控制台模式,當你需要圖形化桌面的時候使用 startx 命令來啟動它。修改配置 etc inittab 找到 initdefault 一樣,將id 5 initdefault修改為 id 3 ini...
監控日誌檔案
環境 名稱主機名 ip服務端 wangyitong 192.168.232.128 客戶端wyt3 192.168.232.132 root wyt3 ls root wyt3 unzip pyscripts master.zip 解壓安裝包 root wyt3 cd pyscripts maste...