lwglucky的专栏

原创 各种折纸方法图解……（陪孩子玩)

狐狸 鹅 老鼠 猴子 骆驼 大嘴鸟 昆虫类 蜻蜓 蝎子 瓢虫 螳螂 蜜蜂 折纸图解—魔幻类 蝙蝠

原创 鸡蛋真难吃

A：这鸡蛋真难吃。 　　　　B：隔壁的鸡给了你多少钱? 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：有本事你下个好吃的蛋来。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：下蛋的是一只勤劳勇敢善良正直的鸡。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：再难吃也是自己家的鸡下的蛋，凭这个就不能说难吃。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：比前年的蛋已经进步很多

原创 Windbg设置条件断点

条件断点（condition breakpoint）的是指在上面3种基本断点停下来后，执行一些自定义的判断。   在基本断点命令后加上自定义调试命令，可以让调试器在断点触发停下来后，执行调试器命令。每个命令之间用分号分割。 语法格式如: 0:000> bp Address "j (Condition) OptionalCommands; gc " 0:000> bp Address

原创 用windbg内核模式调试用户态程序

  windbg 如何再内核模式调试用户空间的程序 收藏 1：使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****     PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000     DirBase: 0000

原创 【翻译】Windows 反调试参考翻译

[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的反调

原创 富养女孩穷养儿

在曾经热播的电视剧《蜗居》里，海藻的母亲对其女与宋思明的苟合，于无可奈何之际讲了中国的一句俗话：富养女孩穷养儿。环顾尘世，重温此言，确乎感慨万端…… ——题记 【引言】红尘滚滚，欲望多多。在这个物欲横流的时代里，我们对信仰的失落，道德的滑坡，行为方式的荒唐，似乎已经束手无策，也仿佛无可奈何。可退一步说，就算你没有什么崇高的信仰，没有什么高尚的情操，至少你在养儿育女的问题上，还是有向好趋纯的良知

原创 几个重要的函数

几个重要的函数： [特别划来的几个底层函数很有用，有公开的、也有没公开的，有用就收起来] ± NtQueryDirectoryFile ± 在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。 NTSTATUS NtQueryDirectoryFile( IN HANDLE FileH

原创 进程填零结束进程

/* This simple app demonstrates how to kill process by writing processs memory.   Write by EP_X0FF and DNY,I just extract it to C      ---- zjjmj2002 */ #include #include #include

原创 N种内核注入DLL的思路及实现

内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事，进程 /  DLL是不错的选择，但进程目标太大，所以更多的同学趋向于注DLL。     若

原创 周星驰喜剧电影中的演员

原创 SEH技术

结构化异常处理（StructuredExceptionHandling，SEH）是Windows操作系统处理程序错误或异常的技术 。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。 外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。 由于Ollydbg 对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率。 附CONTEXT结构环境

原创 一种新的穿透防火墙的数据传输技术

使用该技术背景: 在目标主机安放后门,需要将数据传输出去,同时数据很重要,动作不能太大.其他情况"严重"不推荐使用该技术(后面我会讲到为什么).     针对目前防火墙的一些情况,如果自己的进程开一个端口(甚至是新建套接字)肯定被拦.相反,有一点我们也很清楚:被防火墙验证的进程在传送数据时永远不会被拦.所以,我的思路很简单:将其他进程中允许数据传输的套接字句柄拿为已用.过程如下: 1. 找

原创 PE文件格式详解

摘要 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中（Specs and Strategy, Specifications, Windows NT File Format Specifications），但是它非常之晦涩。 然而这一的文档并未提供足够的信息，所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题

原创 PE文件格式”1.9版 完整译文（四）

=========================== |“PE文件格式”1.9版注释：| =========================== ①Win32s和Win32 Win32s是“WIN32subset”的缩写，它是一个可被加入到Windows3.1和WindowsforWorkgroups系统中以使它们能够运行32位应用程序的软件包。正如它的名字所暗示的那样，Win

原创 PE文件格式”1.9版 完整译文（三）

正如你所见，我计划只用2个节，一个用于代码，一个用于所有剩余的东西（数据、常量和输入目录等）。没有重定位和象资源之类其它东西。我也不用BSS节并将变量“written”放入已初始化数据。文件和RAM中的节对齐都是一样的（32字节）；这将有助于使任务简单，否则我就得来回地计算RVA很多次。 现在我们设置数据目录，开始于0xb8字节，有0x80字节长: 地址 大小 00000000

原创 PE文件格式”1.9版 完整译文（二）

总结一下：如果你想从“knurr”DLL中查找输入函数“foo”的信息，第一步你先找到数据目录中的IMAGE_DIRECTORY_ENTRY_IMPORT（输入目录项）项，得到一个RVA，再在原始节数据中找到那个地址，现在你就得到一个IMAGE_IMPORT_DESCRIPTOR（输入描述结构）数组了。通过查看根据它们的“名称”被指向的字符串，得到和“knurr”DLL有关的这个数组的成员（即一个

原创 “PE文件格式”1.9版 完整译文(一)

[注意：本译文的所有大小标题序号都是译者添加，以方便大家阅读。圆圈内的数字是注释的编号，其中注释②译自微软的《PECOFF规范》，其它译自网络。----译者] 一、前言（Preface） ------------------ PE（“portableexecutable”，可移植的可执行文件）文件格式，是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件

原创 深入剖析PE文件

PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。（注意：DOS MZ Header和部分PE header的大小是不变的；DOS stub部分的大小是可变的。） 一个PE文件至少需要两个Section,一个是存放代码，一个存放数据。NT上的PE文

原创 游戏DX接管的研究

这几天研究了一下DX,目标是DX3D , DXDraw , DXInput。 DX3D ：       DX3D 首先通过函数Direct3DCreate8创建一个D3D对象，这个对象是一个DLL导出的函数,函数返回LPDIRECT3D8对象。这个对象是个COM对象。这下有趣的东西来了。C++编译器对COM对象

原创 PE文件格式详解（一）――基础知识

什么是PE文件格式：     我们知道所有文件都是一些连续（当然实际存储在磁盘上的时候不一定是连续的）的数据组织起来的，不同类型的文件肯定组织形式也各不相同；PE文件格式便是一种文件组织形式，它是32位Window系统中的可执行文件EXE以及动态连接库文件DLL的组织形式。为什么我们双击一个EXE文件之后它就会被Window运行，而我们双击一个DOC文件就会被Word打开并显示其中的内容；这说

原创 PE文件格式详解（三）――DOS Header & PE Header

上一节中我们对PE文件的各个部分的作用有了一个总体的认识，从这节起我们会对PE文件的每个部分作更进一步的解释，当然别忘记了上一节中我提出的两个问题。 1.DOS MZ header 和 DOS Stub：         所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它，一旦程序在DOS下执行，DOS就能识别出这

原创 PE文件格式详解（五）――Improt Table(引入表)

这节即将学习的Import Table和下节的Export Table关系密切，两者联合起来就可以解决我们开始提出的问题。在说明Import Table和Export Table的作用之前先让我们明白编译器是如何处理我们调用外部库函数的。在PE 文件中，当你调用另一模块中的函数（例如USER32.DLL 中的GetMessage），编译器制造出来的CALL 指令并不会把控制权直接传给DLL 中的函

原创 PE文件格式详解（五-2）――Improt Table(引入表)

现在我们知道如何找到引入表了。Data Directory数组第二项的VirtualAddress包含引入表地址。引入表实际上是一个 IMAGE_IMPORT_DESCRIPTOR 结构数组。每个结构包含PE文件引入函数的一个相关DLL的信息。比如，如果该PE文件从10个不同的DLL中引入函数，那么这个数组就有10个成员。该数组以一个全0的成员结尾。下面详细研究结构组成: IMAGE_IMPOR

原创 PE文件格式详解（七）――PE 文件的基底

这节是最后一节了，其实PE格式里面还有很多东西，比如资源，也是挺复杂的一个东东，不过我对它不感兴趣，写点儿自己感兴趣的东东吧――PE 文件的基底重定位（Base Relocations）。前面我们说过了每个模块有一个优先加载地址ImageBase，这个值是连接器给出的，因此连接器生成指令中的地址时是在假设模块被加载到ImageBase的前提之下生成的，这样一来一旦模块没有按照预期的加载到Image

原创 vs2005环境下编译CEGUI 0.6.0

2008.4.9 1、修改了 第4节.前言，补充了关于图象库SDK与CEGUI的关系，添加了DX9.0C SDK的连接 2、修改了 第4.2.1.2节，补充了 两个项目之间的依赖关系。 2008.4.12 1、修改了 第1节 前言，补充了关于DX9的相关信息。 2、修改了 第4节 前言，补充了关于 找不到d3d9.h之类的一系列错误。 ----------------

原创 神兽模拟挂源代码免费下载

神兽模拟挂源代码免费下载. 源代码，随便下载，随便修改，随便使用. 下载地址。

原创 Virtual-Key Codes

The following table shows the symbolic constant names, hexadecimal values, and mouse or keyboard equivalents for the virtual-key codes used by the system. The codes are listed in numeric order. Symb

原创 Lua Lib在VC下的编译/用BCB6编译LUA库

Lua提供了源代码以便于用户自己编译。用户可以将之编译成静态库，也可以编译成为动态库。但Lua没有提供工程文件，需要用户自己添加，对新手而言，带来诸多不便。 一、Lua静态库 编译为静态库很简单，有人已经写过，现摘录如下： Lua 包含core lib和standard lib，详细情况可以查阅文档，为了简单起见，我们将其放到一个lib中，我们需要建立一个静态库的工程，然后将

原创 Lua的静态编译(for 5.1)

Lua的静态编译(for 5.1) --by Coollen.MMX 在下找遍了好多网站也没找到Lua的静态编译方法，而Lua自带的说明上也没有太详细的说明，作为一个新时代的程序员，背负着开创未来的历史责任……，写一点关于Lua编译手册。（可怜的Lua，和Python没法比啊，可惜在下又偏偏比较喜欢）。 准备： 1 VS 2005 2 lua 5.1 (http://www.

原创 luabind 的几个严重问题

用LuaBind很久了。感觉LuaBind总体上来说是可用的，但是问题有不少： 1. 有一个GC问题。问题出在引用技术和GC之间的配合上。 2. 编译速度慢。模板+Boost 导致编译速度那个慢啊。 3. 运行速度慢。大量使用Lua的注册表机制，性能堪忧。 4. 出错不好差。模板用的太复杂。 总的来说，小心使用，LuaBind 还是可以用的。

原创 利用luabind将Lua嵌入到C++项目中

         开篇——环境假设                                                                                                                                          By : HengStar（欣恒） 原文地址：http://blog.csdn.n

原创 VC++中忽略所有默认库纯Win32 API编译及链接

我们在用VC++编写Windows程序的时候可能会发现一般可执行体（.EXE）的文件体积都比较大，于是非常羡慕那些使用Win32汇编编写程 序的人，因为他们编写的可执行文件非常小。其实应用程序的体积是一方面，另外应用程序的部署环境则是需要注意的另一方面，这方面我深有体会，曾经使用 Visual Studio 2008编译过一个C++的Win32程序，本地测试正常，但是部署到客户机时，出现缺少什么动

原创 文件监视开发技术小结

最近在用java写监视文件系统的东东，特对C++和Java下的不同实现方法做一小结。 1.Java环境下 很多人都说用文件轮询HashTable，然后如何如何比较，这种方法效率极为低下，还会造成无谓的磁盘读写。好了JDK 7中提供了java.nio.file大家可以通过 WatchService 来实现对文件的事件的监听。千万记得在JDK 7下哈，现在的JDK7的预览版发布到 jdk-7-

原创 由技术到创业的蜕变

搞技术的到一定程度就会遇到瓶颈。技术再深再精终究有个极限，何况绝大多数人都是普通人。 一个人再忙，一天也只有24个小时。 这个时候就需要集中更多的人协调做更大的事情，达到1+1》2的效果。 这个时候需要考虑的问题有： 1：战略目标。究竟组织人最后要达到什麽样的目标。建立什麽样的盈利核经营模式。需要对这样的目标就行相关的考察和研究。调查可行性。 2：实现战略目标的步骤和条件。 前途是光明

原创 进程隐藏的实现

通过Hook SSDT (System Service Dispatch Table) 隐藏进程 1.原理介绍:        Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换，从用户模式转换到内核模式。2Eh中断的功能是通过NTOSKRNL.EXE的一