- 博客(19)
- 资源 (64)
- 收藏
- 关注
转载 标准MDL方法修改Page、NonPage内存的属性
typedef struct _REPROTECT_CONTEXT{ PMDL Mdl; PUCHAR LockedVa;} REPROTECT_CONTEXT, * PREPROTECT_CONTEXT; NTSTATUSMmLockVaForWrite( __in PVOID Va, __in ULONG Length, __out PRE
2014-04-28 15:21:38 2823
转载 分支优化:neg+sbb算术运算代替逻辑跳
今天在分析一个样本的时候,发现一段代码。1 // .text:100012DF sub esi, 0B7h // 1832 // .text:100012E5 neg esi3 // .text:100012E7 sbb esi, esi4 // .text:10
2014-04-28 12:45:14 1411 1
转载 内存分配函数 ExAllocatePool ExAllocatePoolWithTag
如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式: PVOID p = ExAllocatePool(Pool_Type, Size); PVOID p = ExAllocatePoolWithT
2014-04-28 11:56:24 10811
转载 在Ring3上实现文件碎甲(解锁)功能
一.概述:如果一个病毒文件被植入正在运行的进程中,我们想要清除它时系统总会提供无法删除;有时编辑文件的进程被意外中止而文件句柄没有正确释放,导致此文件无法进行改写操作。现在我们会使用Unlocker之类的小工具去解锁,但在编写程序的可能会需要把这些功能包含在自己的代码中,本文就是自己写代码实现”如何关闭已经被加载的DLL或是正在使用的文件”功能,使用文章中的方法能很方便的完成文件解锁功能。
2014-04-28 11:29:14 1580 1
转载 NTSTATUS codes(驱动错误码对照表)
These are from the Windows .NET Server 2003 RC2 DDK. 00000000STATUS_SUCCESS00000000STATUS_WAIT_000000001STATUS_WAIT_100000002STATUS_WAIT_2
2014-04-27 20:13:40 20929
转载 printf 格式输出代码大全
d,lx,ld,,lu,这几个都是输出32位的hd,hx,hu,这几个都是输出16位数据的,hhd,hhx,hhu,这几个都是输出8位的,lld,ll,llu,llx,这几个都是输出64位的,printf( "%llu ",.....)%llu 是64位无符号%llx才是64位16进制数 Dev-C++下基本数据类型学习小结环境: Dev-C
2014-04-24 23:23:29 1245
转载 EditPlus正则表达式
EditPlus对正则表达式的支持有限,不支持 重复频度 的定义,如:{3}、{3,}、{3,6}... 下面列出EditPlus查找或替换时支持的元字符: 表达式 说明\t 制表符. \n 新行. . 匹配任意字符. | 匹配表达式左边和右边的字符. 例如, "ab
2014-04-24 21:24:21 1215
转载 printf/scanf格式控制符的完整格式
printf的格式控制的完整格式:% - 0 m.n l或h 格式字符下面对组成格式说明的各项加以说明:①%:表示格式说明的起始符号,不可缺少。②-:有-表示左对齐输出,如省略表示右对齐输出。③0:有0表示指定空位填0,如省略表示指定空位不填。④m.n:m指域宽,即对应的输出项在输出设备上所占的字符数。N指精度。用于说明输出的实型数的小数位数。为指定n时,隐含的精
2014-04-21 13:22:34 1383
转载 Unicode字符集下WriteFile中文处理
最近在使用WriteFile函数时发现,vc2008中unicode字符集下处理中文乱码的一些解决方法,归纳如下1. 写入的时候采用多字节char类型 HANDLE hFile; DWORD nBytes; hFile=CreateFile(_T("test.txt"),GENERIC_WRITE,FILE_SHARE_WRITE,NULL,CREATE_ALWA
2014-04-20 11:01:33 4819
转载 ZVM – 记VMP保护代码还原工程
1. 前言. 这篇文章写于2012年的8月,ZVM这个工程是我于2007年左右,一时头脑发晕而做的项目.做的时候是有考虑将其加密解密作为商业化运营的,如果失败,就当是体验一下这种所谓的CRACK界最强,也是最后一道防御是什么样子的.或者还能自己实现一套类似的软件.不管怎么说,研究VMP前后大约花掉我半年多的业余时间(最早还是个CONSOLE工程),还原引擎包含了VM指令调试器,
2014-04-11 15:18:46 16285 3
转载 windows笔记-内存映射文件
Windows提供了3种进行内存管理的方法: • 虚拟内存,最适合用来管理大型对象或结构数组。 • 内存映射文件,最适合用来管理大型数据流(通常来自文件)以及在单个计算机上运行的多个进程之间共享数据。 • 内存堆栈,最适合用来管理大量的小对象。 内存映射文件内存映射文件与数据视图的相关性页文件支持的内存映射文件使用内存映射文件在进程之间共享数据
2014-04-10 10:50:17 873
转载 windows api打开文件对话框
用windows api 写打开文件对话框1.主要使用OPENFILENAME ,GetOpenFileName, GetSaveFileName;OPENFILENAME 结构体介绍:要使用GetOpenFileName 和GetSaveFileName 先要初始化这个结构体,typedef struct tagOFN { DWORD lStructS
2014-04-09 18:07:27 12239 3
转载 C宏定义中## 和# 的含义
1. #的作用是将宏参数字符串化,用例子说明比较直观。例如下面的宏定义#define STR( s ) #s 那么在程序中printf("The string is %s/n", STR(OPEN) );会被展开成printf("The string is %s/n", "OPEN" ); 也就是说,会对#后跟的参数加引号,使
2014-04-06 22:59:15 1096
转载 对多态变形引擎背后方法的概述
译者注:SMEG(Simulated Metamorphic Encryption Generator)是一个影响颇大的多态变形引擎,它使用的方法受到众人的仿效。虽然本文没有详细介绍SMEG中所使用的各种技术,但我们仍可以从中一窥端倪。我写这篇文章的目的是向大家介绍多态变形引擎的工作原理。我假设你已经熟悉8086汇编器以及XOR,AND & OR等逻辑运算。因此,本文不包括逻辑运算及汇编器的内
2014-04-06 22:20:14 2910
转载 关于滴水的VT调试器
关于滴水的VT调试器 by 海风月影论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对Intel的VT技术略有了解,所以我来简单的介绍一下。第一,什么是VT技术VT是Intel的硬件虚拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的 东西非常多(主要是效率问题,因为用软件模拟
2014-04-06 11:30:42 7290
转载 c/c++中运行外部程序
关于三个SDK函数: WinExec, ShellExecute,CreateProcess 的其他注意事项:【1】定义头文件必须定义以下头文件:#include 【2】定义路径C++中所表示的路径要用 " \\ "而不是平常所用的" \ ",所以以上三个函数表示路径都为:disk:\\Directory\\...\\File nameWinExec("D:\\
2014-04-05 13:07:44 1290
转载 C++模板学习
1. 模板的概念。我们已经学过重载(Overloading),对重载函数而言,C++的检查机制能通过函数参数的不同及所属类的不同。正确的调用重载函数。例如,为求两个数的最大值,我们定义MAX()函数需要对不同的数据类型分别定义不同重载(Overload)版本。//函数1.int max(int x,int y);{return(x>y)?x:y ;}//函数2.
2014-04-04 21:26:39 966
转载 因为此版本的应用程序不支持其项目类型(.vcproj)的解决方法
s有时会提示无法打开“....\project1vcproj”,因为此版本的应用程序不支持其项目类型(.vcproj)。若要打开它,请使用支持此类型项目的版本。解决方法:cmd中运行 devenv.exe /resetskippkgs 即可恢复。devenv.exe在C:\Program Files (x86)\Microsoft Visual Studio 11.0\Comm
2014-04-04 21:07:47 32812 4
转载 关于外挂新手最常见的30个问题
概念篇1、什么是外挂它是怎样定义?外挂是指某些人利用自己的电脑技术专门针对一个或多个网络游戏,通过改变网络游戏软件的部分程序,制作而成的作弊程序。这是一个让游戏公司痛恨、玩家分派、作者成就、工作室必备的游戏辅助软件程序。2、一般外挂分几类?有模拟类、内存类、封包类、变态类、脱机类,一般来讲模拟类是最轻的,比如用按键精灵来代替鼠标和键盘的操作;内存挂、封包挂是比较正规和普遍的
2014-04-03 22:30:32 17203 2
字体wps.zip 用于linux wps 使用
2020-03-16
Nat_Type_Tester_.rar
2019-12-26
msfupdate.erb
2019-11-04
fuzz工具 teenage mutant ninja turtles
2019-01-14
Sybase ASE 12.5.4 PC 客户端
2018-12-12
Win32 OpenSSL
2015-04-18
ActivePerl
2015-04-18
编写 Debugging Tools for Windows 扩展 实例
2014-04-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人