转载 VC中隐式链接无.LIB动态链接库的方法

 摘要：     本文提出在不具备动态链接库的源文件或.   Lib输入库文件或欲调用Windows未公开函数的情况下重建.Lib文件的方法,并给出相应的例子。         关键词：未公开函数   VC   DLL   无源文件   .Lib文件   隐式链接     undocumented   function,no   source   ,implicitly   link      

转载 winpcap一些开发实践

这次研究本意是编写一个用于局域网检测IP地址与MAC对应关系的Application，以获知局域网里IP地址的分配情况，在局域网的IP冲突中找到可用的IP地址。设计与构思当确定Winpcap库可以满足操纵ARP后就大胆的展开程序了，首先是对界面进行简单的构思，其中必须把界面和功能函数的关系分离好。程序架构表1 程序基本结构表

转载 轻松实现检测Windows肉鸡系统信息

wocaca入侵后第一步做什么？当然是查看肉鸡的各种系统信息，然后再决定这个肉鸡该吃还是该丢？是好鸡还是病鸡？那检测肉鸡系统信息的方法是什么呢？全手工？累！用大程序？不方便传输！该怎么办呢？还是发扬我们的diy精神，自己打造一个适合自己使用习惯的系统信息检测工具吧！follow　me！1．操作系统详细信息收集我们一般所讲的系统信息包含操作系统版本、service　pack、build号等，如何

转载 用MRTG监测Linux系统网络、CPU、内存和硬盘情况

原创]用MRTG监测Linux系统网络、CPU、内存和硬盘情况By：vitter（vitter@afechina.net）My Web：http://vfocus.netOur Web：http://www.safechina.netMy Blog：http://blog.vfocus.net随着Linux应用的日益广泛，有大量的网络服务器使用Linux操作系统。为了全面衡量网络运行状况，就需

转载 Unix 的入侵追踪

在*NIX系统遭受入侵后，确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作（试探性扫描）常常是从他们的工作机开始的，本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。1.messages　　/var/adm是UNIX的日志目录（linux下则是/var/log）。有相当多的A

转载 71%的网络攻击都与同一个黑客工具包有关

 1月25日消息，一家安全公司星期二称，在去年12月发生的全部基于网络的攻击中，有将近四分之三的攻击都与一个利用多个安全漏洞的黑客软件包有关。 　　据channelweb.com网站报道，位于亚特兰大的Exploit Prevention Lab（安全漏洞防御实验室）称，去年12月份发生的网络攻击有70.9%都与一个代号为“Q406 Roll-up”的黑客工具有关。这个黑客工具包含了十几种不同

转载 DLLs in Kernel Mode

Win32 user-mode programmers are accustomed to using and creating dynamic link libraries, or DLLs, to compartmentalize their applications and enable efficient code reuse. The typical application includ

转载 Using the Windows Debugger: Some Handy/Fun/Clever Debugger Commands

Christmas time is here, by golly. (Disapproval would be folly; apologies to Tom Lehrer.) I was planning to do a tutorial on assembly language and call stacks this time, but it seems like the wrong tim

转载 The Windows Driver Developer's Digest Numeric Overflows in Complex IOCTL Handlers

As a conscientious reader of WD-3, you do know youre supposed to check the length of any buffers you get from user mode calls to DeviceIoControl, dont you. DONT YOU? In this edition of the WD-3 Sec

转载 Accessing DDK Help from Visual Studio

One of the biggest benefits of the Windows DDK is the bountiful information included in the HTML help collections. Unfortunately, there are a few pitfalls along the path toward help nirvana.People s

转载 Remote Kernel Debugging with WinDbg

 The standard way to use Microsofts WinDbg debugger is to connect two PCs with a null modem cable. This configuration is fine for the initial development of a driver. As soon as you unleash your

转载 DDKBUILD - Integrating the Windows DDK with Visual Studio .Net

转载 NDIS Driver Compile Flags

 March 15, 2004 Stephan WolfCopyright © 2004 by Stephan Wolf. All rights reservedThe Windows DDK offers several compile-time flags for NDIS drivers. Most of these flags are described in the DDK do

原创 Windows Driver Build Methods and Tools

March 15, 2003Mark RoddyCopyright © 2003 by Mark Roddy. All rights reservedIn this article, Ill examine several available methods and tools for developing device drivers for the Windows family of

转载 WinDbg basics HOWTO for QA engineers

Index Abstract Setup Common settings, Target machine Target machine settings for remote debugging (dual machine) Host machine Debu

转载 MS Visual Studio 6.0 tips

make .DSP and .DSW startable paint to pretty Black background with highliting make hot-keys to be Borland-like view cp-1251 or koi-8 sources features convert projec

转载 顽固文件删除终极武器

 作者：网络安全日志( www.nslog.cn )    日期：2006/10/01   （ 转载请保留此申明)   原谅我用这个比较煽情的题目，但的确它是目前为止，所有删除流氓软件的文件最终极的解决手段，相比之下，那些Unlocker，IceSword，KillBox都可以退休了。对于流氓软件采取越来越多的保护防删除手段，那些删除工具总显得力不从心。    今天帮朋友清除软件的时候，发

转载 Tencent QQ 多个远程溢出漏洞

by axis(axis_at_ph4nt0m.org) http://www.ph4nt0m.org 摘要: QQ是由Tencent公司开发的一个IM软件，在中国有着非常广泛的用户。DSW Avert在200612.31发现了QQ的几个0day漏洞，并通知了QQ官方。QQ在2007.1.1进行了升级。事实上，在此之前，幻影旅团(ph4nt0m)的axis就已经发现了这些漏洞，出于一些原因未曾公布

转载 WinXP/2000/2003下如何重装TCP/IP协议

by nslog     因为需要针对某一个流氓软件写出它的清除办法，所以首先需要把它分离出来。在做的过程中，TCP/IP协议有问题了，用LSPFix修复未果，后来索性重装了一个TCP/IP协议，我想这个办法自己手工操作就可以了，应该比用工具下载容易，具体方法如下：1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：      HKEY_LOCAL_MACHINE/S

转载 Migrating VC6 driver project to VC8 with DDK 2003

We have VC6 driver project configured as described in Creating Driver project for Visual Studio 6.0 article. Our task is to build it with minimal efforts under Visual Studio 8 using DDK 2003. Also we

转载 Building NT kernel mode drivers in MS Visual Studio 8.0 (VS 2005)

Lets continue. Im publishing detailed step-by-step instruction for creating NT kernel-mode driver project in MS Visual Studio 8.0 Contents set environment variables create project

转载 Building NT kernel mode drivers in MS Visual C 6.0

Yes, I did it. At last Im publishing detailed step-by-step instruction for creating valuable kernel-mode driver project in MS Visual Studio 6.0 Contents set environment variables crea

转载 windbg中常用的命令

~ - list threads in current process context~* - list detail information of threads in current process contextlm - list all loaded modules!sym noice/quiet - symbol prompts on/off.srcpath - set source c

转载 Windows源代码阅读之 句柄算法

 HWND 句柄分配算法浅析在使用Win32 API进行程序开发的时候，句柄的概念处处可见。但是此句柄非彼句柄，各种不同的句柄实现方法很容易让人搞混。下面将源代码级粗略的分析一下HWND这种典型句柄的分配及使用方法，让我们对此类句柄有一个更透彻的了解。HWND一般是通过User32.dll的CreateWindowEx函数建立窗口时返回的。此函数依照如下的调用路径完成实际功能。ntos/w32/n

转载 Execute a function in any Win32 DLL - Reflection in Win32 DLL?

转载 RC4 加密

#include "rc4.h"/* uncomment the following line to run the test suite *//* #define TEST */void rc4_setup( struct rc4_state *s, unsigned char *key, int length ){ int i, j, k, *m, a

转载 use ASM and CPP together

1. create an ASM file;;;;;;;;;;;;; asmsrc.asm:.386.model flat, stdcalloption casemap :none.codemyasmproc proc dw1:DWORD,dw2:DWORDmov eax,dw1add eax,dw2retmyasmproc endpend;;;;;;;;;;;;end of asmsrc.asm

转载 内核级利用通用Hook函数方法检测进程

 介绍通用Hook的一点思想： 在系统内核级中，MS的很多信息都没公开，包括函数的参数数目，每个参数的类型等。在系统内核中，访问了大量的寄存器，而很多寄存器的值，是上层调用者提供的。如果值改变系统就会变得不稳定。很可能出现不可想象的后果。另外有时候对需要Hook的函数的参数不了解，所以不能随便就去改变它的堆栈，如果不小心也有可能导致蓝屏。所以Hook的最佳原则是在自己的Hook函数中呼叫原

转载 关于Windows下ShellCode编写的一点思考

                                        By Hume/冷雨  关于ShellCode编写的文章可谓多如牛毛。经典的有yuange、watercloud等前辈的文章，但大都过于专业和简练，对我这样的初学者学习起来还是有不小的难度。因此把自己的一点想法记录下来，以慰同菜。我不是工具论者，但合适的工具无疑会提高工作效率，而如何选取合适的工具和编写ShellCod

转载 Windows下的函数hook技术

讨论了Windows下hook函数的几种方法。提供了一个hook TextOutA的完整例子。通过CreateRemoteThread的方法把hook dll注入到一个普通的应用程序中。Hooking Imported Functions by name调用 imported functions时的步骤/实现在程序中调用从其它模块引入的函数的方法和普通的函数调用有所不同。对于普通的函数调用，直接

转载 Reverse-Engineering Malware

 This paper discusses tools and techniques useful for understanding inner workings of malware such as viruses, worms, and trojans. We describe an approach to setting up inexpensive and flexible labo

转载 Microsoft Patching Internals

Author: EliCZ   . Caveat EmptorThis article was not written to read like a novel. It is a to-the-point technical dump d

原创 (译)使用WinDBG进行内核调试(Fundamentals)

By xikug.xp前面我们已经小试了牛刀。这里我们将介绍调试器的基本操作。Commands, extensions, etc.有几种命令：普通命令(没有任何修饰)，以句点开始的命令(“.”)和以一个惊叹号开始的命令(“!”)。Debugging Tools for Windows的帮助对这几种命令分别解析为普通命令（commands，译注：我称commands为普通命令），

转载 Windows User Mode Debugging Internals

Author: AlexIonescu # Views: 3390 Printer Friendly ... IntroductionThe internal mechanisms of what allows user-mode de

转载 Windows Native Debugging Internals

IntroductionIn part two of this three part article series, the native interface to Windows debugging is dissected in detail. The reader is expected to have some basic knowledge of C and general NT K

转载 逆向未知dhook.sys驱动源代码

IRP_MJ_CREATE和IRP_MJ_CLOSE，DriverUnload例程很简单可以看写出的C代码或者是dhook.sys的驱动.关键IRP_MJ_DEVICE_CONTROL例程有点复杂和用户层通信.如下：.text:000103DB ; int __stdcall sub_103DB(PDRIVER_OBJECT DeviceObject,PIRP Irp).text:000103DB

转载 icesword 驱动部分分析 by wuyanfeng

cesword 是如何列出隐藏进程？icesword 是通过 PspCidTable 这个表来遍厉进程的， PspCidTable 是一个没有被 ntoskrnl.exe 导出的。这就涉及到如何定位 PspCidTable 的问题。icesword 是通过搜索特征串的方式定位 PspCidTalbe. PspCidTable 是一个 HANDLE_TALBE 结构.PsLookupProcessB

转载 熊猫烧香来源追查,从病毒行为中揭开冰山一角

 Whboy(武汉男生)在98时代是很有名的国内病毒制造者,和广外女生相对,后来和同时代人销声匿迹.最近又有多个病毒流氓都代码里写着WhBOY,包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些QQ/传奇密码盗窃木马,这些木马的代码、传播/爆发手法都极为相似,应该是同一人所为,但是不是早年的武汉男生,还很难说.我们把视线移到一个不起眼的站点上,在这里,我们可以找到一些答案...VC域名是国家顶级域

转载 Possible Trojan.Gromozon analysis

hckf.exePACKER:FSG 2.0 -> bart/xt easily unpacked withhttp://ap0x.jezgra.net/RL!deFSG%202.0.rarcreates files:C:/DOCUME~1/username/LOCALS~1/Temp/022171f8.batI set a break point on WriteFile() i

转载 Paper: Static Analyzer of Vicious Executables (SAVE)

 SAVE seeks to classify closely related pieces of malicious software for the purposes of identifying future ones. The core idea is a good one: Byte code is modified for the purpose of obfuscating th