存档

文章标签 ‘内核’

ISCC2011内核关-移形换影

2011年6月9日 没有评论

这是ISCC 2011 内核关的第三题-移形换影,可以通过SSDT HOOK来解决。主要是HOOK NtOpenFile和NtCreateFile这两个函数来实现。
题目描述:在同一个目录下有两个文件:111.txt和222.txt。你能不能写一个内核程序,当使用记事本打开111.txt时却显示222.txt的内容? 如果你知道系统服务描述表这个概念,just a piece of cake!(注意需要提交源代码)
提示信息:无
我的说明:SSDT HOOK是个老话题了,网上有很多的介绍,看雪论[......]

继续阅读

分类: CTF, Windows驱动开发 标签: , , ,

ISCC2011内核关-打造你自己的进程监控程序

2011年6月9日 1 条评论

这是ISCC2011的内核关的第二题,内核关第一题就是用DebugView查看驱动文件中的输出信息,很简单,略过。本题是内核关第二题,要求使用Notify Routine来监控系统中进程的创建以及退出的信息。本题并不是很难,MSDN一下就知道怎么用了,我倒是觉得,通过EPROCESS结构体来获取进程的全路径需要好好思考一下,不过,Google上搜索一下,就明白了。
题目:监控Windows系统中进程的创建与结束,除了HOOK关键的系统函数之外,还可以设置Notify Routine,系统提供了这[......]

继续阅读