ssmon.rar - VT Debugger with Open Source
这个是拿BluePill的代码作为Base,硬改成调试器。
构思到代码成型花掉我一年时间,幸亏公司活少,给了我充足的时间。
这个是摘自本人的简历内容。
XP系统的汇编级双机调试器,同时可以调试内核线程和普通线程。
Bypass 业界全部的AntiDebug系统。
Builtin with below Functions.
1. AMD VT System,
2. Internal MMU System,
3. PE Loader,
4. Kernel Socket,
5. BTS Tracer.
6. Bp without CC(int 3) code.
7. PE level Script.
8. PDB support
9. Process Memory Scan,2014-10-31 15:38:59,下载23次
ShowQQIp_Detour_2014.07.06_src.rar - 2014版QQ个性显IP(源码+Bin)(支持xp下)
写补丁时,突然发现一利用spi能突破qq的驱动保护,获取到IP,很神奇的说~~~ ,2014-10-31 15:35:37,下载11次
bd.rar - 蓝光解密
某些地方可能有点乱,不过至少自己测试过几十张蓝光磁碟的,稳定性都没问题。
蓝光加密版本记得至少是支持5,6个的涵盖密钥存于磁碟和存于网络服务器。
汇编部分是解密核心,挖的代码,cpp部分个别是逆向,个别是封装。,2014-06-09 12:48:05,下载3次
y83-master.zip - 端口映射并转发,windows下的版本已经完成,但是貌似sock5proxy在数据包多时会锁死.,2014-03-31 10:56:02,下载6次
xvirus-master.zip - 一个早期的抗启发式查杀的WIN32免杀壳,2014-03-31 10:54:14,下载10次
cerberus.rar - win32下的虚拟机保护壳,带有代码分析器的混乱虚拟机保护引擎,压缩文件内有详细设计文档.,2014-03-31 10:50:42,下载23次
main.rar - 08年写的MBR代码,比较乱,大家将就看吧.,2013-10-15 14:51:57,下载2次
srcUDiskCpyManager_V2013_1012_1653.rar - 防止向U盘中拷贝文件, Hook Win32API, 实现在WinXp下U盘 DLP Hook函数列表:CopyFileExW Win7(x86/x64)下U盘DLP Hook函数列表: CoCreateInstance,
IFileOperation::CopyItems IFileOperation::MoveItems IFileOperation::NewItem IFileOperation::RenameItem
,2013-10-15 14:49:03,下载99次
IMProtect.rar - IMProtect 嵌入源码编译保护壳开源
嵌入到源码中编译的保护壳,先于OEP执行,主要是保护输入表和一些反调试反注入手段。,2013-07-21 15:52:49,下载15次
cppsmc.rar - 用C/C++实现SMC动态代码加密技术
所谓SMC(Self Modifying Code)技术,就是一种将可执行文件中的代码或数据进行加密,防止别人使用逆向工程工具(比如一些常见的反汇编工具)对程序进行静态分析的方法,只有程序运行时才对代码和数据进行解密,2013-06-28 10:06:02,下载18次
ExeShellCode2.rar - 用C语言写壳程序和加壳源码,完全支持Win7,加了一些无意义的花指令、也对壳程序里的函数机器码进行了加密,2013-06-23 17:02:51,下载155次
FucnTS.rar - 真正能过TP的源码,完整版,VS2008可直接编译,2013-06-06 18:24:48,下载35次
P2P.zip - 逆了下迅雷和暴风,发现,里面P2P的UDP,加密方式,都差不多.只要修改+-* ,还有几个固定数值就行了..,2013-06-06 18:18:30,下载18次
QueueAPC.zip - Injector source,本是写APC注入,但是要求线程可告警,所以把原来的代码改了.,2013-06-06 18:17:03,下载10次
pediy.rar - MiniFilter版本的SandBox源码,供于研究,支持夸全盘
,2013-06-06 18:12:57,下载17次
elfp.rar - linux elf文件壳源码,压缩率还可以.,2013-05-29 09:11:56,下载33次
TraceHook.zip - windows进程内存转储(dump)工具,它能够附加到进程,读取进程的整个内存,然后,将进程整个内存的数据保存到磁盘上。该工具不同于LordPE 和OllyDump,因为它可以下载进程的整个内存到磁盘上。,2013-05-12 17:12:08,下载75次
HiperDrop-0.0.1.zip - windows进程内存转储(dump)工具,它能够附加到进程,读取进程的整个内存,然后,将进程整个内存的数据保存到磁盘上。该工具不同于LordPE 和OllyDump,因为它可以下载进程的整个内存到磁盘上。,2013-05-12 17:11:08,下载54次
Shell_injection.zip - 内核ShellCode注入的一种方法,源码
测试方法,用工具加载InjectDll,然后运行DllLoad,点击Test按钮
,2013-05-12 13:21:28,下载31次
Src_MiniDisk.rar - 磁盘加密源码,驱动是在FileDisk项目基础上进行修改的,加密算法采用AES,2013-05-02 21:52:55,下载14次
RemoteThreadDll.rar - DLL注入之远线程方式
每个进程都有自己的虚拟地址空间,对32位进程来说,这个地址空间的大小为4GB。因为每个进程都有自己专有的地址空间,当进程的各个线程运行的时候,它们只能够访问属于自己进程的内存。这样做的一个好处是维护系统的安全,防止进程的私有空间被入侵。世界上有了矛就有了盾,windows也撕开了一个小口,提供了一些函数来让其它进程对另一个进程进行操作,当然亦邪亦正,全在于你。大名鼎鼎的CreateRemoteThread就是属于这样的函数。
远线程注入的基本原理就是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。使用插入到目标进程中的远程线程将该DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载DLL,从而实现获取目标进程空间的使用权。如下摘自ReactOS 3.14的代码所示,CreateRemoteThread实际实现的功能就是调用NtCreateThread创建一个属于目标进程的线程。,2013-04-20 10:10:59,下载22次
2013410215430680.zip - 开原自写磁盘还原,经过先数字的改进,目前已经很稳定。,2013-04-13 22:45:59,下载12次
MiniFilter_SandBox.rar - MiniFilter版本的SandBox沙盘源码,支持夸全盘,simrep的框架,供于研究,2013-04-09 12:25:32,下载63次
iOS_System_debug.zip - iOS平台的应用程序调试与分析
本文阐述如何在iOS平台上对应用程序进行调试与分析,旨在指导新手分析iOS程序,高手请无视。内容包括软件硬件的准备、代码的解密、符号信息的获取、用gdb调试等,最后以京东LeBook为例子进行演示。,2013-04-04 11:00:59,下载6次
USBControl.rar - U盘控制程序
之前见到过一款系统,可以实现对U盘的访问控制,只有注册过的U盘才能正常使用,否则会提示 请将磁盘插入驱动器...
简单用IDA膜拜了一下它的一个驱动,貌似是从diskperf上修改的,就想着模仿一下它的功能,因为其工作比较复杂,不止一个驱动,所以打算简单实现功能即可。。。没加多少代码,高手飘过~~,2013-04-04 10:53:57,下载18次
diskperf.rar - U盘加解密
改的diskperf,创建了一个线程来处理读写请求.,2013-04-04 10:49:14,下载17次
MailLock.zip - pop3协议 邮件监控
实现应用层监控邮件的收取, 每封邮件收取完成后,通知EXE进行邮件解析,把一些关键的信息存入数据库,2013-04-04 10:45:42,下载9次
CPP_lib_SRC.rar - 些舍不得格式化的代码,分享给大家.
一、C++、C内存池、内存泄漏调试的实现
二、Windows、Linux双平台线程池的实现.
三、一些标准编码的封装类实现.
_base64Encode.h
_urlEncode.h
_utf8Encode.h
base32Encode.cpp
base32Encode.h
base64Encode.cpp
base64Encode.h
crc32Encode.cpp
crc32Encode.h
urlEncode.cpp
urlEncode.h
utf8Encode.cpp
utf8Encode.h
zlibEncode.cpp
zlibEncode.h,2013-04-04 10:42:26,下载22次
restore_stage0.zip - xx多点还原,部分开源
引导程序实模式部分代码开源,2013-04-04 10:39:08,下载2次
MrleeProtect.rar - MP游戏保护源码
1. 此套保护仅在Windows XP SP3系统上做过测试。
2. 保护程序是在VS2010环境下编译的。
效果:
1. 防止受保护进程被未授权的进程暂停。如,OD在附加进程的时候是要将目标进程暂停的,有了MP保护以后,OD将无法附加进程,因为OD无法将受保护的进程暂停。
2. 防止受保护进程中的数据被修改。如,CE无法修改受保护的进程的内存数据。
3. 当受保护进程中的内存数据被未授权的进程修改的时候,会有提示。
4. 防止受保护的进程被未授权的进程结束。如,用任务管理器去结束受保护程序的进程,将失败。
5. OD选择要附加进程的时候将找不到受保护的进程。
6. 当OD附加受保护的进程时将发生错误。
7. 如果用如类似XueTr的工具将MP保护的inline hook恢复,那么MP保护将会检测到。
8. MP保护开启后可以一定程度的阻止调试程序,如OD、CE、XueTr、WinDbg等的开启。
,2013-04-04 10:33:53,下载31次
process-of-stripping.rar - 进程剥离 OD插件源码
进程剥离 OD插件源码,不就前学会写 插件,里面有中文注释,适合英文不好的同学,一个功能剥离进程调试,发来大家玩玩,2013-04-04 10:28:20,下载21次
task-manager.rar - 分享个自己的任务管理器的源码
主要功能:
枚举进程
枚举进程模块
枚举线程
暂停进程
(强制)结束进程
强制结束进程并强删文件
保护进程
隐藏进程
,2013-04-04 10:23:41,下载35次
dll.zip - 驱动程序中使用驱动dll_源代码,驱动里会导出一些接口,其他驱动可以使用这些接口。在网上搜索了下,写了个demo,作为备份。,2013-04-02 11:22:20,下载6次
seer_script_driver.rar - 驱动中使用脚本引擎
移植某个恶心的脚本引擎到windows内核然后...
包编译通过版~
具体引擎有关的东西看文档目录里的文档吧,2013-04-02 11:19:44,下载5次
Hook-KiFastCallEntry.rar - Hook KiFastCallEntry监控系统调用
这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。,2013-04-02 11:04:20,下载22次
Hooking_DirectX_COM.zip - Hook directx和com技术的源码,跟普通hook api存在着一些区别,2013-04-02 10:58:51,下载13次
Protect.rar - 一个主动防御的代码
算是个雏形吧,界面很丑,拦截的函数也不够多,不过框架是完整的,很容易扩展。
几个月前写的,本来想完善一下再放出来,但是发现最近实在没时间弄了
,2013-04-02 10:52:45,下载12次
gh0st_server_3.6_src.rar - 版本:3.6
控制端采用IOCP模型,数据传输采用zlib压缩方式
稳定快速,上线数量无上限,可同时控制上万台主机
控制端自动检测CPU使用率调整自己的工作线程, 稳定高效
宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。
心跳包机制防止意外掉线..
支持HTTP和DNS上线两种方式
自动恢复SSDT,2013-04-02 10:45:06,下载20次
Gh0st-RAT-Beta-2.5-VC_src.rar - 版本:2.5
控制端采用IOCP模型,数据传输采用zlib压缩方式
稳定快速,上线数量无上限,可同时控制上万台主机
控制端自动检测CPU使用率调整自己的工作线程, 稳定高效
宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。
心跳包机制防止意外掉线..
支持HTTP和DNS上线两种方式
自动恢复SSDT,2013-04-02 10:40:30,下载22次
VEH.zip - 当程序发生异常的时候,一共有两种处理异常的方式。一种是SEH,这个不在本次的讨论范围内。另一种就是VEH了,那么VEH到底是什么呢?下面来随我体验VEH之旅。,2013-03-23 12:18:28,下载27次
cv.rar - Code Virtualizer虚拟机代码还原
本文所讨论的对象为Code Virtualizer,所描述的方法应该也适用于其它虚拟机,2013-03-23 12:09:12,下载5次
hook_NtLoadDriver.rar - 某强删工具sys的逆向学习.
该驱动主要功能如下:首先是对FSD的hook的处理,RestoreFSDDispatchRoutine,2013-03-23 12:04:00,下载13次
MarkBadClusTool.rar - 磁盘坏道标记工具-源码
如何使用请参看Readme以及演示视频。由于时间精力所限,目前仅实现了NTFS文件系统的处理,其它文件系统还没实现。系统将大量的坏扇区信息一次性加入文件系统的坏块机制中,甚至将真正坏扇区周围的“正常”扇区也视为坏扇区一并加入,则可以很好的应对“坏道蔓延”,大范围不规律分布的情况。,2013-03-23 11:24:01,下载15次
winXPMBR.rar - windows操作系统引导扇区代码的逆向源码,2013-03-23 11:15:19,下载1次
Phantom.rar - Windows系统时光机(副标题: 守望者逆向源码)
这是一个逆向游戏守望者的一个驱动,用来给整个系统进行加速处理.
目前是整个系统都加速,包括系统时钟也变快了.
备注: R3层要加载D3D9相关的DLL进行初始化,才会真正的体验到加速的效果.,2012-11-04 15:34:09,下载31次
FilesRecover.rar - 以前写的文件删除恢复软件代码发出来,希望能对大家有帮助,源码比较乱,也没时间整理,源码sdk写的,vc6.0编译通过,win7、xp测试通过。支持fat32和ntfs文件系统的文件删除恢复
,2012-10-28 16:11:24,下载54次
ntfs.rar - 【原创】ntfs下文件恢复原理与实践(简易读物及工具)
,2012-10-21 16:25:04,下载29次
jiami_sys.rar - 首发一个曾打算商用的文档透明加密驱动代码,类minifilter.记得是可以正常对word加解密的,而且关键是完全脱离了MS复杂的(个人认为)minifilter源码。
用来商用是绝对不行的,自己用估计也要改改,但起码逻辑是挺清晰的,如果用来入门我觉得挺好的,当然自己完整改过minifilter的就不需要看了。
至于刷缓存和实现多缓存,这个就见仁见智了。我觉得两者如果都实现到可以商用这个级别的话,就是可以的。作为一名不资深人士,在阅读并操作过DMK和国内某专业厂家的纯刷缓存的产品之后,个人觉得不需要纠结了,只需要关注好产品本身就行了,至于如何实现,大可不必较真。毕竟,minifilter是MS官方的标准;layerfsd,也是经过OSR的长久验证的,两者都是可取的。,2012-10-21 16:03:18,下载174次
GoDiagramWin_v2.2_Source.rar - C#开发,含全部源码,流程图表控件源码以及其他统计图表源码,2012-10-09 20:49:41,下载123次
SafeOperation1.2.rar - 木马行为分析回滚器---SafeOperation1.0 驱动编译环境: WDK 7600.16385.1 “x86 Checked Build Environment” 沙盘是系统中的一个隔离区域,程序可以在此区域中运行,但它不会影响你的电脑。 正常的Windows环境模拟沙盘中的启动程序,但所有的文件存取都被“困住”并在一个隔离的区域执行。通过这种方式,有害的软件再无法进入系统文件或造成其它任何损失。 ,2012-10-03 21:51:11,下载19次
sekurlsa.dll.sourcecode.rar - 逆向sekurlsa.dll_实现读内存获得开机密码
不用注入,读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7,WinXP3,Win2K3(均 32位系统)均可正常显示。
只是不论注入还是读内存都要对lsass进程操作,需要一定权限。,2012-10-03 17:13:44,下载58次
Android.LibInject.zip - Android平台上的注入代码LibInject
处理器是arm的,需要额外处理一些东西
整体流程分3步
1.在目标进程中分配内存,用来写shellcode和参数
2.往目标进程中写入shellcode, shellcode会调用dlopen来载入我们的library
3.运行目标进程中的shellcode,2011-10-14 11:47:24,下载35次
SafeOperation1.0.rar - 木马行为分析回滚器---SafeOperation1.0
驱动编译环境:
WDK 7600.16385.1
“x86 Checked Build Environment”
,2011-09-29 20:19:33,下载8次
Su1xDriver.rar - 该驱动通过hook ssdt ZwOpenProcess,来保护保护suserice.exe。
只是练练手,含金量不高。
锐捷客户端Su1xDriver.sys逆向,附源码,2011-09-27 12:21:55,下载34次
DiskRecover.rar - C盘还原
VS2008工程的Cprotect,修改了一下可以DDK 7600编译通过~,2011-03-07 12:35:31,下载31次
sfilterFCB.rar - 传说中的双fcb+虚拟文件系统架构的文件透明加解密 ,代码比较生硬 .,2011-03-06 16:02:37,下载97次
SoftEther.winvpn_1.zip -
SoftEther模拟以太网卡的工作顺序,可以模拟HUB功能使用tunnel特性,实现VPN的功能,使得系统把此软件完全无碍的识别成一块网卡,有了这个东西,可以不再买VPN 路由器,而实现从Internet访问自家LAN的目标。 ,2011-03-06 15:54:25,下载46次
kernelDebugger.rar - 一个内核调试器代码,翻电脑翻出来,代码比较生硬,将就看。,2011-03-06 15:50:54,下载21次
KeyMouse.zip - 通用键盘鼠标模拟(包括USB和PS2)
通过直接调用Kbdclass的回调函数KeyboardClassServiceCallback直接给上层发送键盘驱动。这个方法网上已经公开,参考 Hook KeyboardClassServiceCallback实现键盘 Logger,其他的还有很多,可以到网上去查。
简单说一下没有公开的部分,就是按下和松开的模拟,已经扩展键的模拟。
模拟主要是构造KEYBOARD_INPUT_DATA结构,按下和松开的Flags分别对应KEY_MAKE、KEY_BREAK,然后调用KeyboardClassServiceCallback。,2010-07-23 11:19:14,下载451次
Sinowal_Bootkit.zip - Sinowal Bootkit源码
不过我试着编译+填充分区表+填充原始MBR到63扇区后写到硬盘无法正常引导~初步估计是Bootloader的问题。
我这没bochs 没法调试 不知道咋回事 有条件的自己调调看吧,2010-07-21 12:45:22,下载62次
YasVPS_Src.rar - 沙盘是系统中的一个隔离区域,程序可以在此区域中运行,但它不会影响你的电脑。
正常的Windows环境模拟沙盘中的启动程序,但所有的文件存取都被“困住”并在一个隔离的区域执行。通过这种方式,有害的软件再无法进入系统文件或造成其它任何损失。 ,2010-07-21 12:39:21,下载131次
ComponentArt.Web.UI2008.1.for.ASP.NET.Ajax.Src.zip - ComponentArt公司是知名的Asp.Net控件厂商,其Web UI控件产品在国际上屡次获得Readers Choice Award等殊荣。
这是Ajax版本,2008-10-19 22:03:15,下载9次
ComponentArt.Web.UI.2008.1.for.ASP.NET2.0.Src.zip - Web UI for ASP.NET 将您的ASP.NET应用程序中最需要用到的用户界面控件集成为一个控件包,其中包括:Menu、TreeView、NavBar、TabStrip、MultiPage、SiteMap、Rotator等ASP.NET控件。
,2008-10-19 21:59:58,下载52次
Telerik.WinControls.RadChart.rar - r.a.d.chart是一个完全可自定义的图表控件,可以显示复杂的图形数据,该产品提供4种基本类型的图表 – 饼状图(Pie), 条状图(Bar), 线形图(Line),和范围图(Area),每一个都可以被充分的定制,r.a.d.chart能够帮助您更加人性化地表现和利于领会复杂的数据 ,2008-10-09 16:22:37,下载112次
Telerik.RadControls.WinForms.2008.Q2.rar - Telerik RadControls for WinForms是一个全面的.NET Winforms用户界面控件套包,它拥有独特的图像矢量展示技术:旋转, 滚动, 动画, 透明;可运行在所有支持.net 2.0的平台上(Windows XP, Windows Server 2003, Windows Vista等等);它拥有极强的WinForms程序运行性能;理想的企业级商业系统开发解决方案(支持CAB);它包含三种辅助工具,用于提高开发效率:Control Spy,Visual Style Builder和Shape Editor。,2008-10-09 16:20:56,下载168次
Telerik_Reporting_Q2_2008_SP1_source.zip - Telerik Reporting是一套独特的Winforms及ASP.NET报表工具,它提供易于使用的Visual Studio设计时体验和运行时无限制分发。Telerik Reporting的强大性能和美观界面可以满足您任何.NET报表应用程序的需求。,2008-10-09 16:03:37,下载47次