灰狐 [iCoodle]

经过多日的筹备，斯托夫外包工作室正式上线啦，我们的网站是“www.StoveSoft.com”。斯托夫外包工作室主要是以承接IT外包项目为主的一个网络工作室，我们的成员均在某个专业方向具有独立完成项目的能力，能够尽可能地为各公司单位提供可信赖的IT外包服务。

 

斯托夫NTFS数据流扫描专家是斯托夫安全实验室针对此种情况，专门推出的一款用于扫描和查杀NTFS数据流的辅助工具，它是免费发布的，您可以自由地用于个人用途，但不得将其用于任何商业用途，不得对其进行破解等任何未授权的逆向和修改。

废话少说，今天发布的软件名字是BinToArray，版本是V1.1，这是个不折不扣的小工具，甚至我都很难给它起一个比较贴切的中文名字，先看一下它的截图吧。

我们经常会需要知道一个文件的具体格式。一般情况下，文件的扩展名可以给我们提供一定的参考信息，但并不准确，因为文件扩展名是可以被任意更改的，并且不会影响其运行。有些对计算机知识比较熟悉的高手可能会使用十六进制编辑器等工具打开软件，通过查看其内容来大体判断其格式。但这要求我们对常用的文件格式非常熟悉，而且也总有可能会出现判断错误。 

    NTFS交换数据流（Alternate Data Streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息，虽然我们无法看到数据流文件，但是它却是真实存在于我们的系统中的。

出于生活所迫，现开始承接各种课程设计、毕业设计，以及外包商业程序等。

本人曾为专业程序员，熟练掌握Visual C++与C++ Builder等编程工具，有实际商业程序开发经验，此前多次承接过毕业设计并顺利通过答辩甚至获得优秀。

      我们的目标是制作一个这样的小工具：可以由用户自己指定一个目录，用户只要把他喜欢的图片放入这个目录中，这些图片便会被轮流采用作为桌面背景。我采用的方法是每次启动系统后自动变换桌面，当然你也可以改成定时变换。

      最近在群里见到越来越多这样的情况，没办法说了。新手嘛，谁不是从新手起来的，就怎么就知道人家不理解你们新手？
      学习，关键是要找对方向，要知道如何去学习!!!这一点做不到，别人哪怕手把手教你也是没多大进展的。

      关于LSP是什么我就不多说了，假定大家都知道，不知道的可以去Google问问。
      LSP其实还是很有用的，不过最近看到许多人在学习过程中老遇到一些问题，下面就把我的一些经验说出来，纯属个人理解，有错勿怪。

1，安装LSP后系统逐渐卡死？
      额，我当时学习的时候曾经遇到过这个问...

      很久没写点什么了，最近在忙着做一些零碎的程序，过一段儿时间一定放新东西。
现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计，考虑再三还是使用SSDT HOOK，因为这个最简单，而且比较稳定，也容易理解。

      提到文件保护，无非就是文件隐藏、文件打开、读写、删除保护等。

一、文件隐藏
 &nb...

      在第二部分我们使用了一个前提：可以通过进程句柄得到PID等信息。
      事实上这是可行的，这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。

      在ring3的API HOOK中，怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下，我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。
      因为CreateRemoteThread的使用方法并不复杂，而且与其他方式相比，它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥，致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。

      在使用冰刃的时候我们可以发现它有一个“监视进线程创建”的功能，这个功能挺有用的，在用户模式下我们可以注册一个shell钩子来监视，或者通过挂钩一些进程创建的Win32 API来实现。
      在内核模式下我们同样可以使用API HOOK来实现，但是还有一些简单的做法，比如我们今天要介绍的PsSetCreateProcessNotifyRoutine函数。

从文件句柄和注册表句柄中读取文件及注册表键完整路径的方法。

并不是所有的驱动都需要直接访问硬件的，事实上几乎所有的硬件设备都存在着驱动程序链，最底层的驱动程序可以直接访问硬件，并对上层提供透明服务，最上层的驱动程序只要对接收到的数据进行过滤、格式化等处理即可，这样大大减少了开发的难度。

我们知道，系统中一些重要的表项如SSDT是只读的，如果我们强行对其进行修改就会造成BSOD的严重后果。当然这种保护方式很容易被绕过，我们曾经介绍了通过修改cr0来禁用WP（Write Protect，写保护）位的方法，现在再介绍一种不需要使用汇编的方法，就是MDL。

cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器，它们可以控制CPU的一些重要特性。

下面是一个简单的链表程序，它的功能是输入两个链表（以-1结束输入），然后将这两个链表合并起来。

在炉子的《API HOOK实现ring3的进程保护》一文中给出了一种解决方法，即使用NTDLL导出的Zw(Nt)QueryInformationProcess函数。

Detours是一个可以在x86、x64和IA64平台上测试任意Win32函数的程序开发库。它可以通过为目标函数重写在内存中的代码而达到拦截Win32函数的目的。Detours还可以将任意的DLL或数据片段(称之为有效载荷)注入到任意Win32二进制文件中。Detours 被广泛应用在微软内部和其他行业中。