- 博客(5)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 pjf获得SwapContext地址方法的解析
pjf获得SwapContext地址方法的解析 在用hook SwapContext法来检查隐藏进程时,首要条件是获得SwapContext的地址。Pjf在博文 ([1]) 中提出了使用线程KernelStack中保存的地址来获得SwapContext地址的方法。本文主要来解析此法。注意本文中正在运行的、即将被换出的线程我们称为旧线程;即将换进的线程称为新线程。 SwapConte
2008-12-21 19:57:00
5401
1
原创 使用DbgPrint打印字符串和其他
使用DbgPrint打印字符串和其他2009-9-22编辑1) 直接打印字符串。 DbgPrint(“Hello World!”); 2) 空结尾的字符串,你可以用普通得C语法表示字符串常量 char variable_string[] = “Hello World”;
2008-12-19 17:03:00
12854
2
原创 Windows版本和检测
Windows版本和检测 前天在研究PEB位置时发现自XPSP2之后就开始随机变动位置了,而不是想以前那样固定在0X7FFDF000上了.我突然想起以前转发的一篇文章非API函数检测操作系统类型>,此文中就是将PEB位置是否为OX7FFDF000作为区分WINNT和WIN9X的标志的.现在PEB的位置也不固定了,看来判断条件得修正一下了. Windows版本号分为操作系统版本号和服
2008-12-19 11:21:00
2016
原创 MiCreatePebOrTeb函数注释
MiCreatePebOrTeb 函数注释 修改订正日期:2009-7-29 Normal 0 7.8 磅 0 2 false false false MicrosoftInte
2008-12-17 22:08:00
2483
原创 GetCurrentProcess/Thread(Id)的反汇编
kernel32!GetCurrentProcessId:7c8099b0 64a118000000 mov eax,dword ptr fs:[00000018h]7c8099b6 8b4020 mov eax,dword ptr [eax+20h]7c8099b9 c3 retkernel32!GetCurrentProcess
2008-12-08 16:50:00
1959
MIC make it clean
2011-06-30
浮点数的内存格式,分单精度和双精度
2010-04-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人