- 博客(32)
- 资源 (604)
- 收藏
- 关注
原创 experiment : EXE使用UPX加壳后, 用OD查找OEP
测试程序#include "stdafx.h"#include #include int _tmain(int argc, _TCHAR* argv[]){ _tprintf(L">> tmain\r\n"); do { _tprintf(L"loop here not need quit\r\n"); ::Sleep(100
2013-06-30 08:05:41 2496
原创 experiment : add menu item to IDA on idapython
# idapython 's demoimport idaapidef fnCallBack_MenuProcess(*args): print ">> fnCallBack_MenuProcess" print "Current Function Name = [%s]" % (GetFunctionName(ScreenEA())) prin
2013-06-28 13:13:18 1643
原创 experiment : hook on idapython
idapython 中的例子, 演示了怎么使用Hook回调.在进入断点回调后:* 打印出函数名称* 加入了继续执行的请求, 使程序继续跑下去. 用于观察函数执行流程.#---------------------------------------------------------------------# Debug notification hook test#
2013-06-28 12:39:22 2490
转载 SetColor useage on idaPython
#---------------------------------------------------------------------# Colour test## This script demonstrates the usage of background colours.## Author: Gergely Erdelyi #-----------------------
2013-06-28 11:33:43 1098
原创 experiment : IdaPython's Choose useage
python 代码""" experiment : IdaPython's Choose useage original url : http://idapython.googlecode.com/svn/trunk/examples/chooser.py"""from idaapi import *""" select the day of week
2013-06-27 23:11:58 1050
原创 experiment : use python Script file on IDA6.1
在IDA6.1中内建了插件idaPython, 在IDA6.1启动后可以看到内建python版本2.6.6--------------------------------------------------------------------------------------Python 2.6.6 (r266:84297, Aug 24 2010, 18:46:32) [MSC v.
2013-06-25 14:10:24 2747
转载 Alphabetical list of IDC functions
Alphabetical list of IDC functionsThe following conventions are used in the function descriptions: 'ea' is a linear address 'success' is 0 if a function fails, 1 otherwise 'void' means that f
2013-06-25 11:55:36 1768
原创 expriment : hello python
# @file \exp1\HelloWorld.py# @brief python's helloworld# ALT + G : 转到某行# 引入函数库import math# 变量定义赋初值, 变量类型和赋值类型相关# 不需要预先定义fTmp = 0.0fValue = 0.0fValue1 = 0.0fValue2 = 0.0iVa
2013-06-24 12:23:57 832
原创 drv experiment : 从内核API代码定位函数地址或结构指针地址
用WinDbg看已经导出的内核API代码, 如果看到需要的未导出函数调用或想直接从汇编代码中定位那个API地址,可以定位 CALL指令中未导出函数地址.未导出函数地址 = 已经导出的内核API首地址 + 计算出的 硬编码偏移.得到已经导出的内核API地址PVOID GetKernelApiAddress(wchar_t * pcApiName){ UN
2013-06-20 09:14:24 2054
原创 drv experiment : FOLLOW_JMP parse
在nt!*API中, 有些入口地址处附近有5个字节的JMP代码.用FOLLOW_JMP宏可以算出JMP到的绝对地址.#define FOLLOW_JMP( JMPADDR ) ((ULONG)(JMPADDR) + 5 + *(ULONG*)((ULONG)(JMPADDR) + 1))这个宏不好理解, 且是硬编码, 用函数实现了一个FOLLOW_JMP, 通用一些.根据给
2013-06-19 15:45:13 969
转载 Memory_management_in_the_Windows_XP_kernel
original url from : http://www.reactos.org/wiki/Techwiki:Memory_management_in_the_Windows_XP_kernelhttp://www.wasm.ru/article.php?article=mem_management, 已经不能访问, demo也下载不到了.Techwiki:Memory
2013-06-17 17:20:46 3035
原创 程序快捷方式管理软件LauncherV2_0_0使用手记
前段时间用>恶心坏了...找了一款替代软件Launcher, 是商业版本的Free版, 没有弹窗, 没有后门, 用的放心.软件下载从软件厂商页面下载: launcher从csdn下载: LauncherV2_0_0.rar使用方式和国内的快捷方式管理软件有些区别, 习惯就好了~使用方式系统托盘中操作快捷方式的管理程
2013-06-17 14:40:33 2894
原创 查找弹窗软件的全路径名称
这几天开机联网后, 右下角总有弹窗, 弹窗的内容很恶心 :(不知道哪个软件搞得, 自己打造一个小工具来侦测弹窗软件的全路径名称.最后找到了, 居然是“牛牛桌面管理大师”, 大师? 我擦, 整个一个流氓...以后不再用这个软件了~罪证:弹窗的关闭按钮信息弹窗信息弹窗截图就免了.刚安装此软件时, 用户体验用的挺好. 等用了一段时间, 就出弹窗,
2013-06-14 14:51:46 4288
原创 debug : remove warning D9035
vs2005 工程用 vs2008打开后编译, 编译通过后出现警告:Command line warning D9035 : option 'Wp64' has been deprecated and will be removed in a future release去除警告的方法:
2013-06-14 13:25:45 1617
原创 note : OD操作整理-杂记
附加进程后定位目标程序代码运行目标程序附加程序(附加程序后,EIP不在目标程序领空)列出可执行模块找到目标程序自己, 跳到目标程序领空的代码.到了用户领空, 可以下断点了.
2013-06-12 19:26:18 891
原创 expriment : 在MASM工程中使用Unicode字符串
; /// edit on RadASM .386 .model flat, stdcall option casemap:none ; /// 头文件include windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.lib; /// 常
2013-06-12 13:02:22 1765
原创 基于Sfilter框架Demo的缓冲区溢出BUG分析
实验了好几次, 才找到能崩溃的那个demoDrv.sys做个应用层的启动程序, 只负责安装这个驱动, 指定该驱动随着系统启动.(备注: 如果直接安装运行驱动, 有可能崩溃后, 调用栈链中没有我们的驱动)安装驱动完成后, 重新启动计算机.用WinDbg链接计算机进行调试, 当计算机启动起来后,被WinDbg断下.设置合适的符号路径, 源文件路径, 映像路径. 在dem
2013-06-11 01:07:39 1845
原创 Debug : vs2008注释引起的运行错误
分析写 CDrvManagerSfilter::InstallOpt()的时候, 需要调用CreateService.因为我想写成不超过80列的标准格式代码, 将注释写到了参数9的上边, 编译通过, 运行却报错.用WinDbg跟到报错后, !analyze -v, uf地址, 只能看到进了这个函数(CDrvManagerSfilter::InstallOpt()), 就报错.因为
2013-06-10 17:22:23 1421
原创 WinDbg : 在Win7X64中调试x86应用层程序
主机环境: win7X64Sp1装了WDK后, 默认的WinDbg是X64版本.当WinDbg -I后, 是将X64程序的异常处理交给了WinDbgX64.我写了个Demo, 搞了个野指针, 向野指针中写内容时, Demo挂了, WinDbgX64捕获不到.在WDK安装光盘(GRMWDK_EN_7600_1.ISO)中, 有X86版WinDbg的安装程序 : \Debuggers\
2013-06-09 14:43:36 4695
原创 驱动管理类的封装
为了代码复用, 将NT驱动和MiniFilter的驱动操作(安装, 卸载, 启动, 停止)进行封装.工程下载srcDrvManager_2013_0609.rar 支持NT驱动和MiniFilter驱动的控制srcDrvManager_2013_0610_1710.rar 增加了Sfilter驱动的控制测试效果用起来挺方便~测试代码// srcDr
2013-06-08 16:21:23 2155
原创 expriment: 在IDA中补齐已知的Windows定义的参数
实验对象: WDK7600中自带的 nullFilter 工程这个工程的框架是minifilter, IDA没有识别全, 只将fltXX函数识别出来, 参数中的结构没有识别出来.加入FltXX标准结构载入fltXX相关的PDB文件(如果没有载入过fltXX相关的PDB, 插入标准结构体时, 看不到fltXX相关的结构)在命令输出窗口, 能看到
2013-06-07 13:58:18 1768
原创 IDA操作整理
IDA view中切换 反汇编窗口和 Graph overview空格键在反汇编窗口中显示机器码在反汇编窗中中加注释和OD一样, 用分号";"在F5窗口中加注释用反斜杠"/"
2013-06-07 12:14:44 2323
原创 整理 : 计算机维护资料杂记
Win7中的SendTo目录位置%APPDATA%\Microsoft\Windows\SendTo改变SendTo文件菜单中的条目顺序效果
2013-06-06 16:12:12 813
转载 当你学不进去时 试试“普瑞马法则”
original url from : http://health.qq.com/a/20130131/000086.htm[导读]当你觉得生活充满惰性,学习充满困难,不妨了解一下大脑是怎么想的,用“普瑞马法则”来处理问题。普瑞马法则一般在学习和生活中,我们都可能有这样的经验,就是当说想要做某件事情的时候,但过了好久发现还是没有做;或者觉得有力气使不出来;或者总觉得
2013-06-06 13:51:11 1222
原创 alg : 单向链表排序 on drv
将单向链表排序迁移到驱动层, 验证通过(组合: (升序/降序) *(链表回环/非回环))如果算法实现需要确认, 还是在应用层先验证完, 再迁入驱动层好些. 能节省大量时间.迁移(应用层 => 驱动层)过程中的修改点:结构 的new delete => lookasidelist 的 alloc free随机数 Srand(), Rand() => KeQuerySystem
2013-06-05 14:15:50 1297
原创 整理: Windows 命令
win-console 启动程序start notepad d:\test.txtssh命令行登陆ssh root@192.168.154.200 22禁止Win7驱动强制签名bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS或bcdedit /set testsigning...
2013-06-04 20:10:19 12115
转载 experiment : 使用WinDbg调试远程用户态程序
使用WinDbg调试远程用户态程序的步骤:假设这个用户态程序是我们自己的, 有源码~* 在程序入口处加入等待调试的代码.* 将用户态目标程序编译成Release版带调试符号, 假设这个PE文件叫 25912.exe* 用WinDbg链接远程计算机, 当第一次被断在系统断点时, 设置好WinDbg的符号路径, PE映像路径, PE源文件路径. 打开2
2013-06-04 16:13:44 1267
原创 experiment : 使用vs2008编译C文件
有一个Demo, 用C写的. 只有一个 25912.c 供下载.如果想看看Demo的效果, 需要编译此25912.c, 需要编译成Release版带调试符号的版本供调试用.现在本机c++IDE是vs2008.编译此25912.c的工程建立过程* 建立一个vs2008控制台工程, 切换到Release版编译模式* 删掉工程模板中所有的文件* 添加25912.c,
2013-06-04 14:47:07 1087
原创 experiment : 使OD反汇编窗口关键字点击后语法高亮
看到了一款OD插件, 可以使OD反汇编窗口点击鼠标后, 上下文的该关键字都高亮. 方便查看该关键字在上下文被用到的地方.插件下载: OD关键字高亮插件_AsmHighlight.rar效果图:
2013-06-03 18:35:57 5245
原创 experiment : 使windbg反汇编窗口代码语法高亮
看到一款插件, 可以语法高亮windbg反汇编窗口代码.测试环境: win7x64Sp1 + windbgx64(6.12.0002.633 AMD64)插件下载: windbg代码高亮plug-in.rar效果图:
2013-06-03 17:52:36 3314
原创 experiment : judge PE file is x86 or x64
// srcJudgePeX86OrX64.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #define DEBUG_PRINT ///< 不需要DebugView输出, 关掉这个宏#ifndef DEBUG_PRINT#undef OutputDe
2013-06-03 16:07:42 1581
pcasm-book-simplified-chinese.zip
2014-05-09
Advanced-Windows-Debugging-sources-awd.zip
2014-04-28
TrueCrypt 7.1a Source.zip
2013-11-01
filedisk-17-org.zip
2013-10-31
Sysinternals_Source.zip
2013-09-16
vs2010_Sample_C_plus_plus.zip
2013-08-08
DebugViewV4_81.zip
2013-03-13
srcSpyxx.zip
2012-09-30
ProcessExplorer
2011-11-05
cppunit-1.12.1.tar.gz
2011-08-30
STLport-5.2.1.tar.bz2
2011-08-20
工程目录结构模板设计_2011_0309_2054
2011-03-10
ResourceHack
2010-11-26
NTFS文件系统扇区存储探秘_电子书和随书光盘.7z
2019-03-18
Linux C程序设计王者归来_book_cd.7z.004
2018-08-22
Linux C程序设计王者归来_book_cd.7z.003
2018-08-22
Linux C程序设计王者归来_book_cd.7z.002
2018-08-21
Linux C程序设计王者归来_book_cd.7z.001
2018-08-21
eclipse-java-mars-2-win32-x86_64.zip
2017-04-21
International standard ISO/IEC C++98
2015-12-25
book code C语言名题精选百则
2015-12-16
depends22_x64.zip
2015-07-26
C++_Templates_The_Complete_Guide_book_code.zip
2015-06-14
quicktimesdk 7.3.0.70 for windows
2015-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人