- 博客(24)
- 收藏
- 关注
转载 DOS批处理-执行EXE后检测文件是否存在
前言开着vs, 编译程序后,在试验目录,执行编译后的程序,想看看是否能生成数据文件. 还要切文件夹,自己先删掉数据文件,再执行EXE, 再看数据文件是否生成. 写了一个批处理,先删掉数据文件, 再自己执行,再显示新数据文件是否已经生成. 现在只需要打开控制台,进入试验目录,运行批处理,看结果就行.试验记录echo offrem file : build_lua.cmdclsif
2016-10-25 19:25:17 1511
转载 c++程序内嵌lua字节码
前言从google找到的资料看,c++和lua交互的经典用法,都是c++调用lua脚本文件. 但是c++程序内,嵌入lua编译好的字节码缓冲区,也是一种用场. 下载的lua官方包里,没有例子程序了. 对于开源程序,自带丰富的例子,是很重要的事情. 虽然说”源码面前没有秘密”, 但实际情况心里还是万马奔腾,让人崩溃. 还是M$做的好,每个API都能在MSDN或WDK中找到可以
2016-10-24 07:43:25 1333
转载 vc6 编译lua5.3.3
前言在工程中直接用lua, 包进来编译,去掉.c依赖的预编译文件stdafx.h, 去掉.c中包含的main函数实现.就可以编译过。我今天要用lua.exe编译一个lua的obj出来, 想自己编译一个lua.exe. 看他工程下有Makefile, 在vc6环境中, 去目录中make, 编译不过,看帮助,也没啥说明,有点晕. 去google,才知道人家是怎么编译lua.exe. 最好玩的是有个人用
2016-10-23 20:52:34 910
转载 SSDT的例子2-NtOpenProcess
前言看人家的工程中,都不是直接返回STATUS_ACCESS_DENIED.在MyNtOpenProcess直接返回STATUS_ACCESS_DENIED并不会影响打开进程.试验记录#include <Ntddk.h>#include <stdlib.h>#include <stdio.h>typedef char CHAR;typedef unsigned char BYTE;typ
2016-10-20 22:43:55 591
转载 SSDT的例子1-inlineHook的jmp验证
前言SSDT Hook后, 如果要跳过函数开始的一些opcode, 就只能跳到没有call语句之前的代码. 因为call有重定位问题,即使opcode一样,call的实际地址也是不同的.试验记录#include <Ntddk.h>#include <stdlib.h>#include <stdio.h>typedef char CHAR;typedef unsigned char BYTE;
2016-10-20 20:59:57 676
转载 NT symbols are incorrect, please fix symbols
问题kd> !process 0 0 * NT ACTIVE PROCESS DUMP * NT symbols are incorrect, please fix symbols解决方法.symfix d:\WinDbgSymbols .reload /o 再执行!process 0 0就正常了
2016-10-19 18:41:59 1715
转载 (ZT)R3使用调用门切R0
前言找了个例子,可以从R3通过"调用门"切到R0.学习的过程中,还有点疑问.e.g. 为什么R3的选择子算的不对?先丢这,等理解了再回来弄.人家R0的代码用MASM写的, 用C写也行.记录R3// hw.cpp : Defines the entry point for the console application.//// #include "stdafx.h"#include <
2016-10-19 00:19:02 1113
转载 从FS找进程页目录表基地址
前言当前进程的CR3是当前进程页目录表基地址 用WinDbg从FS寄存器开始,可以找到指定进程页目录表基地址. 如果是查找非当前进程的页目录表基地址,就不能看CR3. 要直接去FS中找,直到找到_KPROCESS.DirectoryTableBase.根据CR3是当前进程的页目录表的规定,通过!process 0 0, 可以知道当前进程是哪个.记录kd> r fsfs=00000030kd>
2016-10-17 17:23:23 1171
转载 SHL test
前言再看一段产生密钥的反汇编片段,看到SHL居然用负数移位。 做了一个测试 当SHL移位值为一个负数, e.g. shl [mm], cl cl = 0xAE, 结果为SHL(x % 32), 这样解释也挺合理的 SHL 移动的是CL, 移位值应该是%16试验记录// hw.cpp : Defines the entry point for the console applicatio
2016-10-16 18:08:32 1117
转载 IDAF5后的宏
前言IDAF5结果中,有一些宏是IDA中定义的。宏名含义很清楚,具体怎么干活不清楚。查了资料,在<IDA dir>\plugins\defs.h中有这些宏的定义. e.g. BYTE3()记录IDA6.1中的defs.h/* This file contains definitions used by the Hex-Rays decompiler output. It has typ
2016-10-16 10:41:51 1865
转载 OD选项设置-本地变量的显示格式
前言今天用OD时,发现局部变量都显示成 lea eax, [local.30] 而不是 lea eax, dword ptr ss:[esp + xx] 好难受,和IDA对不上了…用的是52pj版OD, 开始以为是人家的高级插件太多了,直到将插件一个一个的都去光了,还是这样。 才开始试验改OD的调试选项, 找到了. OD调试设置 => 分析1 => 显示函数中的参数及局部变量(不要打勾)试验
2016-10-15 20:07:35 2154
转载 NT驱动使用设备扩展的例子
前言设备扩展,可以消掉操作每个设备时需要的全局变量.试验记录模拟向文件中写入2次字符串,第二次写时调整文件指针的位置.然后调整文件指针,从文件头开始读字符串. 设备IO采用缓冲区方式. R3// hw.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include <windows
2016-10-13 15:26:30 728
转载 向VC6工程插入第三方PE中资源的方法
前言如果有第三方PE中有对话框,图标等资源,需要在自己的工程中插入. 可以用2进制资源粘贴的方法,可以保证插入本工程的资源和第三方PE的资源一模一样.试验记录用VC6按照资源工具方式打开第三方PE在资源中找到要导出的资源,选择按照2进制打开, 全选,复制打开自己的工程,随便插入一个类型相同的空(new)资源,选择2进制打开,粘贴.因为其他工程的ID和本工程定义的ID不同,插入后的第三方资源
2016-10-10 01:18:03 849
转载 PEID插件的写法
前言看到PEID插件目录带的例子,试验了一下,等逆向出PEID算法扫描插件后,就可以直接在插件工程中写还原代码了.PEID插件的调用约定是__cedel.试验记录; @filename ReKanalPlugin.defLIBRARY ReKanalPluginDESCRIPTION "Kanal pulgin RE project"VERSION 0.1EXPORTS fnBuil
2016-10-09 22:29:50 894
转载 subst模拟盘符
前言以前也用过subst模拟盘符, 那时觉得用了就是调试目录统一些, 每个迁出工程的同事,都能统一开发目录, 不用再去改自己的开发目录设置. 今天想到,还有安全性问题啊. 因为编译出来的PE文件里面有开发目录的全路径,这属于信息泄漏. 写好设置开发目录模拟盘的脚本后,测试过了,即使是编译的是Debug版程序,PE中也没有原始开发目录的信息了, 只能看到基于虚拟盘的相对开发路径. 如果不隐藏开发
2016-10-09 20:13:31 889
转载 PEID0.95脱壳
前言手里PEID是52pj版的, 想看看PEID算法扫描插件调用时的函数调用, 应该就是标准的DoMyJob函数,不过还是想看看. 原版PEIDFrom52Pj是加壳的, 有UPX段,应该是UPX压缩壳, 准备手脱.调试记录PEID脱壳EP004982B0 > 60 pushad 004982B1 BE 00404600 mov esi,PEiD.0046
2016-10-09 16:46:29 1298
转载 驱动加载器UI版
前言以前整理过一个程序, 用SCM操作驱动的类(http://download.csdn.net/detail/lostspeed/5557573). 在程序中直接用,当时就是验证了一下,没有配UI. 这几天被要求写一个带UI的驱动加载器. 肯定要复用以前的成果了,将类加入工程中,各种编译不过. 以前那个类写的挫,没有考虑到MBCS和UNICODE工程中都要用怎么办? 今天写完驱动加载器U
2016-10-09 13:35:34 717
转载 WindbgX64和WinxpSp3虚拟机双击调试的参数设置
前言很久以前就配置过Win7X64真机 + WinDbgX64 + vmware + WinXpSp3虚拟机的双击调试. 但是昨天试了一下居然不行,参数就那么几个, 试来拭去都不行. 也许是vmware升级成新版出的问题, 也许是虚拟机映像配置有问题. 也想重新装一下WinXp虚拟机,但是安装时,在虚拟机内蓝屏. 搞不动了去睡觉.早上起来,想了想。 我做试验的虚拟机是52pj做好的WinX
2016-10-07 09:51:20 899
转载 对称加解密的例子
前言msdn中有个CSP对称加解密的例子, 验证整理了一下.加密例子// hw.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include <windows.h>#include <stdlib.h>#include <stdio.h>#include <math.h>#in
2016-10-05 17:54:27 511
转载 use CryptStringToBinary to unbase64
前言看到Demo中有段代码,用CryptStringToBinary对数组中的预留Base64文本UnBase64. 做个试验,记录一下.试验// hw.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include <windows.h>#include <stdlib.h>#
2016-10-05 14:20:12 2057
转载 换桌面背景
前言看到Demo中,自己在内存中做了一个位图文件, 自己按照参数写上文字内容,保存成bmp, 设置该bmp为桌面背景. 设置桌面背景只用一个API : SystemParametersInfo. 如果是一个后台程序,要显示一些提示性的信息,用墙纸和用户交互也是一个有趣的选择.试验// hw.cpp : Defines the entry point for the console applicat
2016-10-05 10:46:17 1025
转载 CryptAPI对称加密的例子
前言看见一个Demo中有使用CryptAPI加密的代码. 查了资料,先写一个能用的CryptAPI加密例子, 预测一下Demo中的CryptAPI的调用流程. 等还原玩,如果Demo写的有特色, 再整理一个Demo玩.试验// @file rsaEncrypt\hw.cpp//#include "stdafx.h"#ifndef _WIN32_WINNT // Allow use
2016-10-02 14:17:39 1631
转载 脱壳-cerber3
前言拿到一个Demo, 用PEID0.95查壳,没查到, 也侦测不出用啥语言写的. 用IDA载入Demo, 看主函数的流程预览就是一长条. 看Demo中的函数, 除了内存相关的WinApi, 再没有其他有点用的Api。 推测程序被加了壳. 因为不知道这壳的名字,暂且命名为cerber3壳.脱壳知识点记录脱壳成功的判定: Demo是有一定功能的,脱壳后,再运行脱壳后的Demo, 功能和脱壳
2016-10-02 11:10:38 233
转载 define dd rva on IDAPro
前言IDAPro载入PE分析后,会标出 dd rva GetOpenFileNameA 这样的助记符地址. 在这样的助记符地址上,按h键(一不小心就按一下), 助记符号地址变成了dd 1234h这样的rva地址. 如果再想变成好记的助记符地址,就麻烦了,IDAPro好像没有提供像k那样的快捷键. 现在正在分析一个加壳的程序,如果不改回来,就轮到我难受了. e.g. 加壳程序将引入表的IAT抹掉
2016-10-01 21:20:10 1048
pcasm-book-simplified-chinese.zip
2014-05-09
Advanced-Windows-Debugging-sources-awd.zip
2014-04-28
TrueCrypt 7.1a Source.zip
2013-11-01
filedisk-17-org.zip
2013-10-31
Sysinternals_Source.zip
2013-09-16
vs2010_Sample_C_plus_plus.zip
2013-08-08
DebugViewV4_81.zip
2013-03-13
srcSpyxx.zip
2012-09-30
ProcessExplorer
2011-11-05
cppunit-1.12.1.tar.gz
2011-08-30
STLport-5.2.1.tar.bz2
2011-08-20
工程目录结构模板设计_2011_0309_2054
2011-03-10
ResourceHack
2010-11-26
NTFS文件系统扇区存储探秘_电子书和随书光盘.7z
2019-03-18
Linux C程序设计王者归来_book_cd.7z.004
2018-08-22
Linux C程序设计王者归来_book_cd.7z.003
2018-08-22
Linux C程序设计王者归来_book_cd.7z.002
2018-08-21
Linux C程序设计王者归来_book_cd.7z.001
2018-08-21
eclipse-java-mars-2-win32-x86_64.zip
2017-04-21
International standard ISO/IEC C++98
2015-12-25
book code C语言名题精选百则
2015-12-16
depends22_x64.zip
2015-07-26
C++_Templates_The_Complete_Guide_book_code.zip
2015-06-14
quicktimesdk 7.3.0.70 for windows
2015-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人