Windows
文章平均质量分 51
anhkgg
Windows Kernel/Rootkit/Reverse Engineer/Expolit/内核研究/逆向分析/漏洞分析挖掘
网站:<www.hankeer.org> 博客:<https://anhkgg.github.io>
展开
-
SuperRDP2:开启Windows家庭版远程桌面功能(多用户)
SuperRDP2:自适应支持Windows家庭版最新远程桌面SuperRDP2SuperRDP是在rdpwrap基础上重写的项目,用于启用Windows家庭版的远程桌面,并且支持多用户。SuperRDP已经发布1年4个月了,提交了60多次commit,给网友解决了近100个问题(issue),支持了几十多个新版本的远程桌面。目前SuperRDP项目也有760左右的Stars,感谢大家对项目和我工作的肯定。有时候会同时收到很多网友的issue,需要支持他们的版本,其实还挺麻烦的,特别有时候忙的时候原创 2022-05-11 15:02:47 · 5402 阅读 · 2 评论 -
vs2005启动不了,手把手教你修复它
由于工作需要,还在用vs2005这个老古董,虽然很不喜欢。虽然很轻,但有两个原因不喜欢:调试总要加载符号,不让加非加,慢的无语时不时总是无缘无故无法启动无法启动这个事已经无数次出现了,重装,重启,屏蔽Assist均是无效。后来无意间点击了C:\Program Files (x86)\Microsoft Visual Studio 8\Common7\IDE\devenv.com,可以启动了。但这次这个方法也不行了,实在是忍无可忍。决定干它。上调试器,启动devenv.exe。看到崩溃原原创 2022-03-19 16:23:06 · 1098 阅读 · 0 评论 -
使用魔法电脑安装最新华为电脑管家多屏协同
魔法电脑能够实时一键修改bios信息,无需重启,不破坏固件。官网http://www.hankeer.org/magic.html下载魔法电脑(MagicComputer)。运行魔法电脑,修改蓝色文字bios信息,点击魔法生效官网https://consumer.huawei.com/cn/support/pc-manager/下载电脑管家,双击正常安装即可搞定。具体操作视频可以看:https://www.bilibili.com/video/BV1zb4y1a77E...原创 2021-10-08 00:15:59 · 4757 阅读 · 0 评论 -
华为电脑管家PcManager多屏协同功能破解
让友商电脑兼容了一下华为系专属的多屏协同功能笔者注:文中出现的大写C,请轻声念出北京大爷的口头禅。华为刚发布多屏协同功能的时候,我就被种草了。后来一天在微博看到@Navis-MDT发布的一个体验视频,果然碉堡了。华为多频协同体验视频瞬间有点想从“米boy”转为“花粉”用户,这…当然是不可能的了。翻看微博回复,看到华为手机副总裁@李小龙Bruce_Lee也转发了该视频,并回复网友“为啥不...原创 2019-11-06 12:31:08 · 32616 阅读 · 12 评论 -
注入技术系列:一个批量验证DLL劫持的工具
作者:anhkgg日期:2019年11月3日很多时候,可能会对某个软件进行DLL劫持。而这个软件是否存在DLL劫持漏洞,需要去分析验证。比如通过IDA查看导入的DLL,或者LoadLibrary的DLL,然后慢慢排除某些KnownDlls,排除某些绝对路径加载的DLL…或者通过Windbg分析。虽然技术难度不高,但是挺费事的。本篇文章分享我找DLL劫持的方法,不一定是最佳,不过很...原创 2019-11-04 10:57:31 · 1404 阅读 · 0 评论 -
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ )下面我介绍的是自己实践的一些方法,有没有效果,试试就原创 2017-05-22 12:19:43 · 11137 阅读 · 0 评论 -
C++中堆和栈的完全解析
C++中堆和栈的完全解析http://www.cnblogs.com/likwo/archive/2010/12/20/1911026.html内存分配方面:堆: 操作系统有一个记录空闲内存地址的链表,当系统收到程序的申请时,会遍历该链表,寻找第一个空间大于所申请空间的堆结点,然后将该结点从空闲结点链表中删 除,并将该结点的空间分配给程序,另外,对于大多数系统,会在这块内存空间中的首地转载 2013-05-03 09:54:30 · 851 阅读 · 0 评论 -
VS2008 SP1 安装卡在 VS90sp1-KB945140-X86-CHS的解决方法
VS2008 SP1 安装卡在 VS90sp1-KB945140-X86-CHS的解决方法VS2008 SP1 安装卡在 VS90sp1-KB945140-X86-CHS的解决方法方法一:(不推荐) 装到这个补丁卡住后,直接打开任务管理器,把这个进程给关了,然后打开镜像文件里面的目录vs90sp1,找到VS90sp1-KB945140-X86-CHS.msp,转载 2013-05-04 17:11:19 · 2258 阅读 · 0 评论 -
微信(WeChat)电脑端多开分析+源码
0x00 前言不知道大家有没有多个微信号,我反正有一两三个。现在电脑端微信使用频率也比较高,主要用于大文件传输,或者手机电脑文件互传等等,除了不能收红包和看朋友圈,貌似电脑端没其他毛病。哦,还有个毛病,只能开一个微信,只能开一个,开一个,一个…不管这些有的没的,今天的主题是,怎么样在电脑上开多个微信客户端!0x01 分析了解过单实例的同学,应该都知道大概是怎么实现的单开。简单说下,大都通过判断Mut原创 2017-05-14 16:07:53 · 9480 阅读 · 3 评论 -
小Win,点一份APC(Apc机制详解)(一)
翻开翻开小Win的菜单,APC赫然在目...做工讲究,味道不错,是小Win的热门菜,我们点一来尝尝!吃了可以做很多事情...APC注入APC注入APC注入...细节来自于ReactOS源码分析。如果对这个发神经的文风有任何不适,请谅解,因为我确实神经了来一份APCring3这么做的点APC的正确姿势是使用QueueUs原创 2017-05-06 17:25:15 · 4146 阅读 · 0 评论 -
MFC添加右键菜单
MFC添加右键菜单2012-08-01 22:43 852人阅读 评论(0)收藏 举报mfcmenutreenullhttp://www.cppblog.com/suitang/articles/136172.html?opt=admin可以使用响应WM_RBUTTONDOWN或者WN_RBUTTONUP消息。这里使用的是响应WM_CONTEXM转载 2013-04-19 16:23:07 · 788 阅读 · 0 评论 -
VC的CListCtrl控件
VC的CListCtrl控件分类: VC++/MFC 2009-03-05 01:16 22432人阅读 评论(19)收藏 举报listviewreport扩展headermfcnull1. CListCtrl 样式及设置2. 扩展样式设置3. 数据插入4. 一直选中Item5. 选中和取消选中Item6. 得到CListCtrl中所转载 2013-04-19 14:33:02 · 693 阅读 · 0 评论 -
[MFC]选择目录对话框和选择文件对话框
[MFC]选择目录对话框和选择文件对话框在MFC编程中经常会需要用到选择目录和选择文件的界面,以下总结一下本人常用的这两种对话框的生成方法:选择目录对话框//选择目录按钮void CDcPackerDlg::OnBnClickedDecgen(){char szPath[MAX_PATH];//存放选择的目录路径CString str;Zer转载 2013-04-18 11:06:10 · 649 阅读 · 0 评论 -
SEH中的prolog和epilog
SEH中的prolog和epilog 2011-9-19 15:56阅读(172)http://user.qzone.qq.com/31731705/blog/1316419000#!app=2&via=QZ.HashRefresh&pos=1316419000上一篇 |下一篇:对比VC和Tasm对le...转载 2013-04-12 20:39:39 · 2563 阅读 · 0 评论 -
区分虚拟网卡与物理网卡
本地物理网卡的MAC地址。GetAdaptersInfo 可以获得本机所有网卡的信息,然而这些网卡中可能包括虚拟网卡。例如,若安装了 VMWare 或者某些 VPN 客户端软件,则会出现若干虚拟网卡。它们在形式上与物理网卡几乎没有区别。 ipconfig 将它们与本地物理网卡等同对待。有些人建议使用 MAC 地址中的 "locally administread bit" 来区分。而事实转载 2013-03-24 21:34:15 · 5365 阅读 · 2 评论 -
vc6.0远程调试
vc6.0远程调试分类: MFC2012-06-06 20:58 465人阅读 评论(0) 收藏 举报多线程threadbuildgenerationprofiler汇编先明确下概念,远程调试嘛,自然是两个机器之间调试。程序运行在目标机器上,调试器运行在本机。当然,目标机器上还是要有少许辅助程序才能跟本机的调试器connect上,以便通讯。一般来说,只需要copy四个文转载 2013-03-20 10:26:41 · 2905 阅读 · 1 评论 -
在VC中如何进行远程调试
在VC中如何进行远程调试2011-05-10 11:26:40 我来说两句 收藏 我要投稿在调试大型应用程序时,如果计算机的配置比较低,就需要在配置较高的机器上调试。Visual C++提供了远程调试的能力,方便程序开发人员调试存放在配置较高的机器上的程序。Visual C++之所以能够进行远程调试,主要是通过Msvcmon.exe这转载 2013-03-20 10:18:02 · 1262 阅读 · 0 评论 -
MFC笔记总结
1. MFC系列(一)基础控件(Static\Edit\Button\Combo)2. MFC系列(二)CListbox3. MFC系列(三)CListCtrl4. MFC系列(四)CStatusBar5. MFC系列(五)CToolbar6. MFC系列(六)xx7. MFC系列(七)xxx敬请期待原创 2017-05-04 09:19:43 · 1122 阅读 · 0 评论 -
代码注入心得
完整的注入方法,请参考:http://www.cppblog.com/besterChen/archive/2009/02/15/73831.html我的心得:函数代码注入方法关键步骤:一、WriteProcessMemeory将函数参数写入目标进程二、WriteProcessMemeory将函数代码写入目标进程三、CreateRemoteThread创建远程线程,在目标进程中原创 2012-03-10 13:39:45 · 650 阅读 · 0 评论 -
一次美丽的误会引发对函数调用保护的思考
很久没碰wx了,最近想写个东西,就重新拿了起来,最新版本2.6.8.65(此时已经2.6.8.68)。找到以前分析过的发送文本消息接口,发现函数大变样,很明显的vm痕迹。.vmp0:1131CE33 000 push 2493AC03h.vmp0:1131CE38 004 call sub_1134AEB3.vmp...原创 2019-09-27 11:25:09 · 153 阅读 · 0 评论 -
汉客儿2019支付宝加密红包设计思路
0x0. 前言去年春杰也弄了个加密红包,主要技巧在使用了汇编xor变换口令。今年在30天抢红包的时候突然想起这茬,怎么的也得再弄一个吧。作为技术公众号,不能太low了,怎么通过技术来实现加密红包,设计思路是个问题。思前想后,突然想到前两天弄的语音聊天记录,计上心来。0x1. 设计思路先想好一段逼格满满的口令祝福语,然后呢,哈哈…1. 语音口令用我醇厚磁性性感的声音把红包口令念出来,通...原创 2019-09-27 11:22:44 · 1413 阅读 · 0 评论 -
驱动下Wow64栈回溯和进程模块枚举
很久没写驱动代码,最近又摸了一下。在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。堆栈回溯驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下:ULONGRtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags);//Callers一个PVOID数组,保存栈中...原创 2019-09-27 11:21:18 · 2958 阅读 · 0 评论 -
「神器」不容错过!逆向调试好帮手:神算子偏移计算工具。
「神器」调试好帮手:神算子偏移计算工具by anhkgg2018年12月11日0x01.写在前面做逆向调试的小伙伴应该都遇到过这种问题:在同时使用两大神器OD(或Windbg)和IDA逆向某程序时,调试中模块基址经常变化,而在IDA中默认为0x400000(或0x10000000),所以在调试到某个点想到IDA整体对比分析一下的时候,发现计算地址真的好麻烦,特别时在经常需要计算的时候,...原创 2019-09-27 11:20:30 · 2289 阅读 · 0 评论 -
一种通用DLL劫持技术研究
通用DLL劫持技术研究by anhkgg2018年11月29日写在前面Dll劫持相信大家都不陌生,理论就不多说了。Dll劫持的目的一般都是为了自己的dll模块能够在别人进程中运行,然后做些不可描述的事情。为了让别人的程序能够正常运行,通常都需要在自己的dll中导出和劫持的目标dll相同的函数接口,然后在自己的接口函数中调用原始dll的函数,如此使得原始dll的功能能够正常被使用。导出...原创 2019-09-27 11:18:46 · 374 阅读 · 0 评论 -
Windbg USB3.0双机调试
配置需求目标主机有USB3.0 xHCI主机控制器,支持调试[Port1]Is Port User Connectable: yesIs Port Debug Capable: yesCompanion Port Number: 3Companion Hub Symbolic Link Name: USB#R...原创 2019-09-27 11:17:14 · 1605 阅读 · 0 评论 -
2345内核拒绝服务漏洞(3)- WORD的锅
漏洞概述软件网址:http://safe.2345.cc/版本:v3.7 X642345安全软件的驱动2345BdPcSafe.sys在ioctl(0x0022204C)接口处理中,对输入数据校验不严格,精心构造的数据可导致在处理过程中内存拷贝时溢出,然后bsod拒绝服务,甚至可内核提权。漏洞分析在IRP_MJ_DEVICE_CONTROL处理函数中,对0x22204C接口进行处理时...原创 2019-09-27 11:16:27 · 561 阅读 · 0 评论 -
2345内核拒绝服务漏洞(2)
漏洞概述软件网址:http://safe.2345.cc/版本:v3.7 X642345安全软件的驱动2345BdPcSafe.sys在ioctl(0x002220E4)接口处理中,对输入数据校验不严格,可构造数据中包含非法地址导致访问违例,然后bsod拒绝服务。漏洞分析在IRP_MJ_DEVICE_CONTROL处理函数中,对0x2220E4接口进行处理时如下所示:InputB...原创 2019-09-27 11:15:45 · 652 阅读 · 0 评论 -
2345内核拒绝服务漏洞(1)
概述已经快2个月了吧,已经忘了是什么原因突然搞起了驱动漏洞,反正就是很有兴致地想挖掘一下驱动漏洞。在网上了解了基本的驱动漏洞挖掘方法,主要是通过ioctl接口进行挖掘,已经有很多相关fuzz工具了,比如ioctlbf、kDriver-Fuzzer等等。kDriver-Fuzzer的作者k0keoyo在2017年收获了100多个CVE,很牛逼啊,这个已经2018年了,再来挖此种类型的驱动是不是...原创 2019-09-27 11:14:24 · 332 阅读 · 0 评论 -
WannaCry深度详细分析报告
转载请注明出处:https://anhkgg.github.io/wannacry-analyze-report/原创 2017-05-26 13:06:30 · 2260 阅读 · 0 评论 -
CTreeCtrl和CListCtrl的应用【仿Explorer】
1.获取系统ImageList//获得系统路径 char szSysDir[MAX_PATH]; CString strBuf; memset(szSysDir, 0, MAX_PATH); GetWindowsDirectory(szSysDir, MAX_PATH); strBuf = szSysDir; sprintf(szSysDir, "%s", strB原创 2011-11-14 19:29:09 · 1416 阅读 · 0 评论 -
高手是怎样练成的
高手是怎样练成的分类: C++感悟与资料整理 2012-03-13 19:15 261人阅读 评论(0)收藏举报[html] view plaincopyprint?高手是怎样练成的 高手成长的六个阶段 程序员怎样才能达到编程的最高境界?最高境界绝对不是你去编两行代码, 或者是儿分钟能写几行代码,或者是用什么所谓的可视化上具产生最少的转载 2013-01-14 10:47:39 · 751 阅读 · 0 评论 -
Loadlibrary 失败:998 内存分配访问无效
Loadlibrary 失败:998 内存分配访问无效http://andylin02.iteye.com/blog/584187Loadlibrary 失败:998 内存分配访问无效问题: LoadLibrary()加载DLL失败,错误号为998。错误原因为:内存分配访问无效解决方法:1.在你的DLL中访问了无效地址:即你访转载 2012-12-27 15:41:58 · 9086 阅读 · 0 评论 -
文件隐藏技术(二)
SSDT HOOK实现文件保护nokyo.blogbus.com 很久没写点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。 现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。 提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。 一、文件隐藏 文件隐转载 2012-05-21 16:23:03 · 2293 阅读 · 0 评论 -
文件隐藏(三)
Hook ZwQueryDirectoryFile实现文件隐藏隐藏文件, 主要是SSDT HOOK ZwQueryDirectoryFile函数.#include typedef BOOLEANBOOL;typedef unsigned long DWORD;typedef DWORD * PDWORD;typedef unsigned long U转载 2012-05-21 16:23:36 · 746 阅读 · 0 评论 -
调试器初步
from: http://msdn.microsoft.com/zh-cn/library/cc301686.aspxWindows XPEscape from DLL Hell with Custom Debugging and Instrumentation Tools and Utilities,Part 2Christophe Nasarre转载 2012-05-21 10:55:45 · 1926 阅读 · 0 评论 -
文件隐藏技术(一)
地址:http://www.cnblogs.com/qiuyi21/articles/1151923.htmlhttp://www.smrhack.cn/xinwenhtml/xinwen46.htmlhttp://www.tdcqjslt.com/read.php?tid-299.htmlhttp://www.tdcqjslt.com/simple/?t299.htm转载 2012-05-21 16:22:34 · 789 阅读 · 0 评论 -
VC++编写交互程序时将打印结果输出到cmd窗口显示
VC++编写交互程序时将打印结果输出到cmd窗口显示地址:http://www.itwis.com/html/c/ccc/20080527/1576.html2011-06-20 10:57:46humming0 评论475 浏览在使用VC++编写交互程序时运行中cout的信息是看不到的,使用下面的方法可以在你的交互程序运行的同时弹出一个cm转载 2012-05-18 16:36:40 · 7823 阅读 · 0 评论 -
MFC控件:listctrl使用方法总结
MFC控件:listctrl使用方法总结来自:http://blog.csdn.net/crich_moon/article/details/6104526作者:lixiaosan时间:04/06/2006以下未经说明,listctrl默认view 风格为report相关类及处理函数MFC:CListCtrl类SDK:以 “ListView_”开头的一些宏。如转载 2012-05-16 10:53:28 · 1016 阅读 · 0 评论 -
会话 0 隔离
会话 0 隔离(动手实验)http://msdn.microsoft.com/zh-cn/library/ee663074.aspxhttp://www.cnblogs.com/gnielee/archive/2010/04/07/session0-isolation-part1.html概览服务是整合在Microsoft Windows操作系统中的转载 2012-05-10 09:40:50 · 5510 阅读 · 0 评论 -
vc++里剪切板的一些技术
vc++里剪切板的一些技术 (2006-10-10 13:56:11)转载▼在我们自己的VC++ / MFC应用程序中增加剪贴板功能其实是很简单的事情。为了让你的程序可以与剪贴板对话,本文就其实现中的一些基本问题做一些实例讲解。 拷贝与粘贴文本 下边的源代码演示了如何将文本(包含在CString对象“source”中)拷贝到转载 2012-05-03 17:40:28 · 833 阅读 · 0 评论