|
|
使用标签浏览
所有标签 » Technology Inside (RSS)
显示页面 1 / 3 (共25)
-
Smallfrogs
http://www.KZTechs.com
如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。
AppInit_Dlls键值位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用 ...
-
本文含有危险动作,仅供学习使用。本文所列数据或方案未经严格测试,仅供参考。
Microsoft在Windows Vista SP1 WAIK里面附带了一个新的工具:vsp1cln.EXE。这个工具是用于:在Vista RTM环境里面安装SP1之后,将Vista RTM文件清理用的。主要是给那些不再卸载Vista SP1的用户。
这个工具有594KB,体积不小,但是我更关心的是他的实现原理,经过简单的分析以后发现,vsp1cln.EXE的实现原理很简单,vsp1cln.EXE内置了所有的Vista ...
-
Smallfrogs[张康宗]
http://www.KZTechs.COM
Level 200
UAC,Windows Vista 里面重要构成部分。对 Windows 安全保护起着绝对重要用途。
但是,UAC 不等于绝对安全,当你碰到UAC提示框的时候,请千万小心后面的陷阱:
众所周知,UAC提示框触发的时候,Windows 会检测新创建进程映象文件的数字签名: 如果新创建的进程的数字签名被阻止了,那么会显示一个红色的提示框: 如果新创建的进程没有合法的数字签名,那么会显示一个橘黄色的提示框。 如果新创建的进程拥有一个受信任的第三方数字签名,那么会显示一个灰色提示框。 ...
-
张康宗
http://www.KZTechs.COM
Level:300
在Windows Vista里面,进程是分权限级别的。Windows会根据manifest内容、Windows Installer detection、兼容性数据库等方法判断一个进程是否需要一开始就运行在完整admin模式下。
但是不是所有的程序一开始就需要运行在完整admin模式下的,例如任务管理器TaskMgr.EXE。在Windows Vista里面,启动任务管理器以后,默认只能显示当前账户相关的进程信息,只有当点击下面这个按钮并回应UAC提示以后才能显示所有用户的进程信息:
请注意上面这张图片,Show processes from all users 按钮前面有一个Windows ...
-
我曾经在“故事系列”技术文章之一的——《延迟删除的故事》里面描述了Windows 2000/XP/Server 2003里面使用到的延迟删除数据记录方式。
在 Windows 2000/XP/Server 2003 里面,包括Microsoft在内的各个软件厂商在碰到文件被占用无法马上替换问题的时候,都会使用MoveFileEx API函数让系统在注册表
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session ...
-
这篇“故事”文章原本应该在4个月前就发表了,但是由于时间关系一直未能完成,今天终于写完了。由于时间仓促,文中可能含有错误,请各位指出以便修正,谢谢。
全文PDF版本可以在 http://www.KZTechs.com 下载到
演示用的Demo程序可以在 http://www.KZTechs.com/uipistory/uipistorydemo.zip 下载到。
由于排版问题,我这里仅节选一些内容,全文请看PDF版本文件。
一、 什么是UIPI UIPI指User Interface Privilege Isolation(用户界面特权隔离),是Windows Vista ...
-
今天将向大家介绍一个比较有意思的内容,应用程序实现方法的猜测。 序 ...
-
我们继续。
在本系列文章第一部分里面,我简单的介绍了一下SREng的发展历程以及加入Win32 API HOOK检测机制的一个大概原因。
在本系列文章第二部分里面,我讲述了Win32 API函数的基本定义、Win32 API的用处以及Win32 API HOOK的基本原理以及Win32 API HOOK的用处。
在今天的第三部分里面,我会讨论Win32 API HOOK作用域的问题以及SREng对于Win32 API HOOK检测域。
API HOOK根据实现不同以及需求不同,会要求设定不同的作用域。使得HOOK对象只在程序开发者要求的作用域内完成。一般来说,HOOK的作用域可以分为两类:全局的或者是线程相关的。 全局HOOK:对整个系统里面所有线程都进行HOOK; ...
-
我们继续昨天的话题:System Repair Engineer(SREng) 和 Win32 API HOOK。
昨天说到Win32 API HOOK作为一种技术,被正常软件和病毒都使用到了。
要理解Win32 API HOOK,就需要从操作系统谈起了。
操作系统:为了实现扩展性,大多会提供各种接口用于应用程序开发使用(现在很多软件也提供了开发接口,SREng也有哦~)。作为Windows操作系统也不例外。Windows操作系统大致上可以划分为用户模式和核心模式两类。用户模式又可以划分为几个子系统:Win32子系统,POSIX、OS/2子系统等。 关于子系统的介绍,请参阅《Windows Internals 4th》,这里不做解释。 由Win32子系统提供的函数被成为Win32 ...
-
System Repair Engineer (SREng) 介绍:
“System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。”
上面这段话是System Repair Engineer (SREng) 的正式介绍,比较书面化,既然是BLOG,我认为可以这样解释System Repair Engineer (SREng) ...
1
|
|
|