- 博客(4)
- 资源 (5)
- 收藏
- 关注
RSS订阅转载 关于伪句柄
一、什么是伪句柄 在使用很多函数的时候,我们都需要获得一个对象的句柄,而某些函数返回的是伪句柄。伪句柄本身不会打开内核对象的句柄表,因此内核对象的使用计数就不会增加。它本身就只指向调用它的主调进程或线程。会因为调用者的不同而改变,比如:调用者A使用一个伪句柄,这个句柄指向调用者A,而调用者A将该句柄传递给调用者X,则这个句柄就指向调用者X。我们可以通过调试的方式查看伪句柄,可以得知,进程的伪
2012-03-28 15:15:56
3095
原创 由远程线程注入代码引出来的一些问题
昨天小平同学在写一个远程线程注入代码的程序,他注入成功了,能弹出对话框,但是点击确定之后被注入的程序会崩溃掉,我记得自己以前写过是没有问题,但是我是拿VC6写的,调试了一下他的程序,发现原因是向目标进程地址空间中writeprocessmemory的时候,把call checkesp也写进去了,这玩意就是用来检验ESP在函数体中是否被改变,但是这些检验函数的地址在不同PE文件中有可能是不一样的。我
2012-03-19 13:52:25
6097
1
原创 过QQ游戏大厅的SX保护
早些时间看郁金香的教程,写过qq游戏练练看的挂,那时候CE附加QQ游戏大厅的时候貌似是没有任何保护的,昨天舍友让做个斗地主的记牌器,但是,我用CE附加的时候,被检测到了,其实不附加也会被检测,所以猜测可能只是检测窗口进程或是模块名称啥的吧,被检测到的时候主程序会退出,但是那个对话框还在,就是那个SX什么什么的,所以如果是QQgame启动了某个线程来检测非法的话,在主程序退出其他线程对象都释放掉的时
2012-03-13 15:42:05
9483
原创 一个脑残壳的框架设计与实现
组成: 1.引导程序:由vc6 win32 dll工程 2.主程序:MFC工程 引导程序与主程序一起开发,使用时引导程序作为资源放到主程序中。 主程序执行流程: 1. 载入待加壳程序与引导程序,保存待加壳程序入口点与基址。 LPEFile m_lpeFile,m_lpeStup; if (!LoadPE(&m_lpeFile,&m_lpeStup)) {
2012-03-03 20:23:11
3904
脱壳的艺术--doc
2010-07-01
逆向c++,PDF格式
2009-10-05
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人