2013年07月_swanabin

12月 11月 10月 09月 08月 07月 06月

转载 NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程

http://www.ghoffice.com/bbs/read-htm-tid-103923.html

2013-07-30 17:57:15 1115

转载城里城外看SSDT

引子2006年，中国互联网上的斗争硝烟弥漫。这时的战场上，先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit……前不久，我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》，在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解

2013-07-30 17:17:15 738

转载监视系统中进程的创建和终止

原理很简单，主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错首先新建一个驱动程序工程，在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数，并创建一个系统事件对象，当系统中有进程新建或者进程终止，回调函数将会被调用，而在进程回调函数中，保存信息并出发系统

2013-07-30 16:54:22 1100

转载 APIHOOK

#include stdio.h>#include windows.h>#include Dbghelp.h>#pragma comment(lib,"Dbghelp.lib")#pragma comment(lib,"User32.lib")typedef int (__stdcall *OLD_MessageBox)( HWND hWnd, LPCTSTR lpTe

2013-07-30 16:50:46 749

原创 Try running RemoteDll as Administrator

在使用RemoteDll注入动态库的时候发现注入有的动态库会提示下面的错误， LoadLibrary on remote process [1968 - Explorer.exe] failed. Try running RemoteDll as Administrator....原因是动态库编译选项的问题：当使用MDD编译选项的时候会提示上面的错误，改成MTD就可以了

2013-07-22 12:18:05 1224

转载用注册表创建无法删除的IE快捷方式

代码如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{98745625-1234-1234-1234-1234567890AB}]@="Internet Explorer"[HKEY_LOCAL_MACHINE/SOFTWA

2013-07-18 16:02:13 1442

原创 SetFileAttributes

设置文件属性： SetFileAttributes(文件名，属性值)读取文件属性：GetFileAttributes(文件名);读取文件属性SetFileAttributes(文件名， FILE_ATTRIBUTE_READONLY); // 设定为只读SetFileAttributes(文件名， FILE_ATTRIBUTE_HIDDEN ); //设定为隐

2013-07-16 17:57:25 8703

原创 DbgPrint/KdPrint输出格式控制

在驱动编程学习中，往往需要通过DbgPrint或者KdPrint来输出调试信息，对于Check版本，KdPrint只是DbgPrint的一个宏定义，而对于Free版本，KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。KdPrint is identical to the DbgPrint routine in code that is compiled

2013-07-11 12:07:25 651

转载探索NDIS HOOK新的实现方法(1)

NDIS HOOK是专业级防火墙使用的一种拦截技术，NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针，获得了该指针，接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。获得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注册一个新的协议，所获得的协议句柄实际上就是一个NDIS

2013-07-10 12:17:47 877

转载基于SPI的数据报过滤原理与实现

一、个人防火墙技术概述随着网络安全问题日益严重，广大用户对网络安全产品也越来越关注。防火墙作为一种网络安全工具，早已受到大家的青睐。在PC机上使用的个人防火墙，很大程度上成为广大网民的安全保护者。Windows下的个人防火墙都是基于对数据报的拦截技术之上。当然在具体的实现方式上它们却有很大的不同。总的来说可分为用户级和内核级数据报拦截两类。其中内核级主要是TDI过滤驱动程序，NDIS中间层过滤

2013-07-10 12:07:46 1868

原创注册表中路径的写法

注册表中路径的写法实际上，因为用户模式下的应用程序总是由某个 “ 当前用户 ” 打开的，因此在用户模式下可以直接访问 HKEY_CLASSES_ROOT 和 HKEY_CURRENT_USER ，但工作在内核模式下的驱动程序不属于任何一个用户，因此不能直接访问这两个根键。如果对象类型为注册表键，则对象名字应该起始于“\Registry”。例如：键

2013-07-06 11:47:26 1952

解决.Net Framework 2.0 安装时出现Error 25007的错误，错误信息： Product: Microsoft .NET Framework 2.0 -- Error 25007.Error occurred while initializing fusion. Setup could not load fusion with LoadLibraryShim(). Error: The handle is invalid.

2015-07-23

error C4996

使用vs2012，遇到如下错误。 error C4996: ‘fopen': This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details.

2015-07-11

解决rdlc报错 An error occurred during local report processing

从VS2005升级到2012或者2013后，原来做的报表，如果编辑过，而且不是转换成XML而是用编辑模式的话，会报错“An error occurred during local report processing”

2015-07-07

VC 常见编译错误.pdf

USE_NATIVE_EH has an invalid value, change it to 1. error C2065: ‘_bstr_t’ : undeclared identifier error MSB8008: 指定的平台工具集(v110)未安装或无效 error C2065: “CString”: 未声明的标识符 error C2664: “ATL::CStringT<BaseType,StringTraits>::Remove”: 不能将参数 1 从“const char [2]”转换为“char”

2015-02-13

VC 常见编译错误

VC,编译错误,error C2664,error C2065,error MSB8008

2015-02-13

驱动和应用层的三种通信方式

介绍了驱动和应用层的三种通信方式，工程一个应用层exe.一个驱动，exe中没有安装驱动的代码，驱动需要手动找工具安装下，然后再运行exe

2014-03-03

CPUID，根据汇编指令cpuid获取CPU信息

根据汇编指令cpuid获取CPU信息，奔腾4以上的CPUID,intel不提供了

2014-02-27

ReloadKernel(重载内核全程分析)

重载内核内容： 1、将内核文件加载到内存 2、进行基址重定位 3、重定位ssdt结构 4、 Hook KiFastCallEntry，让RING3进程调用走新内核

2014-02-25

Windows RPC入门程序

RPC入门程序，经VS2010调试通过并正常运行。源于微软官网。有修改。

2014-01-25

如何HOOK桌面窗口消息

如何HOOK桌面窗口消息. 截获桌面窗口鼠标单击事件，解析所选中的桌面 Item，并将解析后的 item 信息发送给主调程序，并将信息显示在一个窗口上面

2013-12-26

代码注入的三种方法

如何将代码注入不同的进程地址空间，然后在该进程的上下文中执行注入的代码。本文将介绍三种方法： 1、Windows 钩子 2、CreateRemoteThread 和 LoadLibrary 技术 ——进程间通信 3、CreateRemoteThread 和WriteProcessMemory 技术 ——如何用该技术子类化远程控件 ——何时使用该技术

2013-12-26

VC操作桌面图标：取消自动排列图标及取消将图标对其至网格

VC操作桌面图标：取消自动排列图标及取消将图标对其至网格、移动桌面图标位置

2013-12-02

MyCreateprocess 实现系统创建进程的过程

通过学习进程创建机制，自己实现系统创建进程的过程

2013-11-20

MyCreateprocess

通过学习进程创建机制，自己实现系统创建进程的过程

2013-11-20

利用钩子技术控制进程创建(源码)

利用钩子技术控制进程创建(源码) ,能够对想学习钩子的朋友起到帮助作用。

2013-11-19

Windows下DNS ID欺骗的原理与实现

局域网内的网络安全是一个值得大家关注的问题，往往容易发起各种欺骗攻击，这是局域网自身的属性所决定的–网络共享。本文所讲解的DNS ID欺骗是基于ARP欺骗之上的网络攻击，如果在广域网上，则比较麻烦。不过也有一些例外情况：如果IE中使用代理服务器，欺骗不能进行，因为这时客户端并不会在本地进行域名请求；如果你访问的不是网站主页，而是相关子目录的文件，这样你在自定义的网站上不会找到相关的文件，登陆以失败告终。如果你不幸被欺骗了，先禁用本地连接，然后启用本地连接就可以清除DNS缓存。

2013-11-16

NDIS+IM防火墙安装文件和源代码

本程序是一个完整的基于windows ndis中间层驱动的防火墙程序，包含了整个驱动层和客户端的代码，以及使用说明。若想研究一下ndis中间层，可以参考一下这个源码~~~

2013-07-11

MFC类库详解，中文版

MFC类库中文版，和MSDN差不多，不过就是翻译成了中文。

2008-10-29

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

swanabin的专栏