- 博客(23)
- 资源 (7)
- 收藏
- 关注
RSS订阅原创 合并字符串
合并字符串 typedefNTSTATUS(__fastcall *fnRtlAppendLUnicodeStringToLUnicodeString)(LUNICODE_STRING *PathIn,LUNICODE_STRING *PathOut);staticfnRtlAppendLUnicodeStringToLUnicodeStringRtlAppendLU
2016-11-30 21:43:57
622
原创 调用 IRtlKey
调用 IRtlKey voidGetInterfaceAndObject(LPWSTRpszKey,IRtlKey **pIKey,CKey **pKey){ IRtlSystemIsolationLayer *pSystem = NULL; RtlGetSystem(0,NULL, &pSystem); unsigne
2016-11-29 19:52:30
286
原创 解读 OpenRegistryKey
解读 OpenRegistryKey //----- (100EAC60)--------------------------------------------------------int __fastcallCSystemIsolationLayer_IRtlSystemIsolationLayerTearoff::OpenRegistryKey(int a1, s
2016-11-29 19:50:40
1914
原创 创建重要文件
创建重要文件 //----- (10121F8A)--------------------------------------------------------int __fastcall CreateImportantFiles(int a1, int*a2, int a3, int a4, int *a5, int *a6, int *a7){ v85 =-2147
2016-11-27 21:16:28
393
原创 CDirectory类
CDirectory类通过调用IRtlDirectory接口,我们得到了以下的结论:IRtlDirectory接口有三个字段:5a994724 009215f05a9944b0+0和+2 处是两个虚地址表。+1 处的内容是CDirectory类的地址。 CDirectory类的地址0x009215f0位置地址解
2016-11-26 14:54:43
593
原创 调用IRtlDirectory 接口
调用IRtlDirectory接口 IRtlSystemIsolationLayer *pSystem= NULL;RtlGetSystem(0,NULL,&pSystem);LUNICODE_STRING dirName, ntDirName, newDir;RtlInitLUnicodeString(&dirName, L"c:\\tools");
2016-11-25 22:34:20
409
原创 邮件合并:将多条记录合并到一页
邮件合并:将多条记录合并到一页合并后的效果:赵六赵六地址1 赵六地址2 赵六地址3 赵六地址4 赵六地址5 张三张三地址
2016-11-23 20:36:15
25143
6
原创 创建实例
创建实例创建实例,CreateInstance完成了所有构件的装配工作。当然,还有一个更高层的函数,CRtlOneShotTypeDescriptionInit,即100F2350,不过,在那个函数中已经看不到任何有用的内容,只是对这个函数进行了进一步的封装。//----- (100F2202)----------------------------------------
2016-11-21 21:12:20
607
转载 深入 COM+
Inside COM+: Base ServicesCopyright© 1999 by Guy Eddon and Henry EddonLOC PageForewordPrefaceComponent SoftwareFrom Object-Oriented Programming to Component SoftwareThe Evolution of COM+
2016-11-18 21:55:29
330
转载 合成接口
合成接口 来源:https://msdn.microsoft.com/zh-cn/library/ms233169(v=vs.80).aspx。这是一组接口,在C:\ProgramFiles (x86)\Windows Kits\10\Include\10.0.14393.0\um\isolation.h中定义。有系统的定义,就省事多了,且不用猜测和怀疑了。 I
2016-11-18 21:42:34
579
原创 找不到外部符号
找不到外部符号要放在一起,否则,会出现找不到外部符号。static NTSTATUS(WINAPI *GetAppIdAuthority)(LPVOID *);static void InitFunctionPtrs(void){ GetAppIdAuthority = *(NTSTATUS(WINAPI *)(LPVOID *))GetProcAddress(phWCP, "GetA
2016-11-17 22:02:18
472
原创 调用 IRtlFile 接口
调用 IRtlFile接口 IRtlSystemIsolationLayerTearoff *pSystem =NULL;RtlGetSystem(0,NULL, &pSystem); LUNICODE_STRINGfileName,ntFileName;RtlInitLUnicodeString(&fileName,L"c:\\in.ma
2016-11-16 21:26:22
402
原创 获得清单文件的内置属性
获得清单文件的内置属性 /************************************************************************//* 获得清单文件的内置属性第一个参数为文件名第二个参数为属性序号,从 1 开始,到 32,已知的有下面的一些常用值:1 assemblyIdentity name2
2016-11-16 20:06:40
360
原创 在输出窗口显示调试过程的相关信息
在输出窗口显示调试过程的相关信息 #define_CRT_SECURE_NO_WARNINGS 1 /************************************************************************//* 在输出窗口显示调试过程的相关信息
2016-11-15 22:19:43
436
原创 组件名的生成终于解决了
组件名的生成终于解决了 这个问题的解决,也标志着这一类问题的解决。大体的过程是这样的:找到初始化接口的程序,在虚函数表中找到所需要的函数入口,分别执行,就能得到所要的结果了。 // 运行 RtlGetSystem得到IRtlSystemIsolationLayerTearoff接口的地址,不需要输入参数IRtlSystemIsolationLayerTearoff
2016-11-14 21:26:37
1099
原创 生成组件散列值
生成组件散列值散列值在修复组件故障时,非常重要。 第一个散列值从组件的名称上可以知道,只有通过对应的第二个散列值,才能找到组件族和胜出的注册表值。真正生成字符串的函数可能是: CRtlIdentityBase::GenerateKeyFormIntoBuffer_LHFormat 这里是调用 CRtlDefinitionIdentity::GeneratePseudoKeys,生成散列值。
2016-11-12 22:52:04
622
原创 nirsoft,很好的工具库
nirsoft,很好的工具库http://www.nirsoft.net/提供了几百个小工具,有的还有源码,非常值得收藏。 有密码、系统、浏览器、编程、网络等。 所有的工具通过统一的平台 NirLauncher 进行管理。 这个平台也是开放的,也可以集成其他工具,比如 SysinternalsSuite。 所有的工具都不需要安装,可以放在 U盘上 运行。 提供的链接也是高大上。
2016-11-05 20:12:38
2834
原创 文件删除,实际就是设置文件信息属性
文件删除,实际就是设置文件信息属性即 +13 处的 SysSetInformationFileDirectFileSystemProvider::SysSetInformationFile(unsigned long,void *,struct _IO_STATUS_BLOCK *,void *,unsigned long,enum _FILE_INFORMATION_CLASS,un
2016-11-05 15:24:43
824
原创 CRerootedFileSystemProvider 虚函数表
CRerootedFileSystemProvider 虚函数表0 0x50d6f6e0 Windows::Rtl::SystemImplementation::CRerootedFileSystemProvider::Release(void)1 0x50d6f300 Windows::Rtl::SystemImplementation::CRerootedFileSystemPro
2016-11-03 22:51:03
339
原创 DirectFileSystemProvider 虚函数表
DirectFileSystemProvider 虚函数表Windows::Rtl::SystemImplementation::CRerootedUserProfileProvider::Release(void)Windows::Rtl::SystemImplementation::DirectFileSystemProvider::CreateInterface(struct _GUID c
2016-11-03 22:47:03
879
原创 文件、目录的调用顺序
文件、目录的调用顺序文件、目录的操作最终交给系统完成。CDirectory_IRtlDirectoryTearoff::OpenExistingDirectoryCDirectory::OpenExistingDirectoryDirectFileSystemProvider::SysCreateFileWindows::Rtl::SystemImplementation::DirectFi
2016-11-02 22:13:13
456
原创 接口 IID 表
接口 IID 表 GUID 接口 _GUID_1dd18d46_740a_450b_b24a_f0edf70fbd92 IRtlAppIdAuthority _GUID_31257d4b_3df7_46f9_86c5_1c76711e334e IRtlBlobProvider _GUID_a5b48e44_162c_11d9_b198_00e0816a6477 IRtl
2016-11-01 21:50:07
1649
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人