Codez & Kitz

Written by KiSSinGGer on 三月 10th, 2008

一些写过的代码和工具,欢迎交流.

(N本人不对滥用某些代码造成的后果负责N)
———————————————————————————-

LRU算法的C语言描述
“最近最少使用”算法,简单,广泛用于Cache的管理.

获得文件簇在磁盘上的分布(VCN,LCN)
通过FSCTL_GET_RETRIEVAL_POINTERS这个控制码获取文件信息.

关于APIC的操作(Source Code)
针对于Intel ICH7/9 南桥写的,演示如何取得与APIC有关的一些寄存器的信息.

PE Loader(Source Code)
内核态的PE Loader,可以动态加载一个SYS并运行之.

PE CheckSum(Source Code)
计算PE文件的效验和,和imagehlp!CheckSumMappedFile()功能类似.
C算法代码来自http://www.opencjk.org/~scz/windows/200701102106.txt

Kill Kaspersky Internet Security 7.0(Binary Only)
杀死卡巴斯基7.0并移除它许多实时监控功能.
(N危险)

VirToPhy(Source Code)
将Intel x86上的虚拟地址转换成物理地址的示例代码.
不支持PAE Mode :P

TransmitFile(Source Code)
使用Windows Socket的TransmitFile函数来传送文件.

ProcName(Source Code)
不用Windows API 取得自身进程名( Tested on WindowsXP SP2)

VMCode(Source Code)
演示简单的VM Code Translater的原理,当然,现实中的VM不是这样的.

CallStack(Source Code)
伪造返回地址绕过调用栈检测的原理性代码.

StopMe(Source Code)
修改ETHREAD中的Flags域相应位造成一个难以结束的进程.

HideProcess(Source Code)
很老的Rootkit衰招,修改活动进程链表,隐藏CMD.EXE.

EnableRing3IO(Souce Code)
使运行在Ring3的代码能对IO端口进行读写. 

inet_addr(Source Code)
将字符串型的IPv4转换成整数.

SysModules(Source Code)
小例子,演示从PsLoadedModuleList来获取加载了的内核模块.内核Shellcode用得上:P