- 博客(6)
- 资源 (67)
- 收藏
- 关注
RSS订阅转载 如何绕开对通用VMware虚拟机检测
<br />1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在<br />其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加)<br /><br />monitor_control.restrict_backdoor = "true"<br /><br />这句的意思是关闭vmware的后门(什么后门?后面详细说)<br /><br />2,开启vmware workstation,在里面的 虚拟机 ->
2011-04-28 11:23:00
37148
转载 解析Windows 2000/XP进程工作集
<br /> 在《解析Windows 2000/XP物理内存管理》中我详细的介绍了页框数据库(Page Frame Database)的概念,提到在物理内存的组织与管理方面对于每个页面系统都在页框数据库中保存一个结构,用于跟踪页面状态等。但页框数据库并不能真正协调物理内存的使用。我们知道,Windows是一个多任务的操作系统,而物理内存却是一个相对贫乏的资源,为避免某个进程(或是系统)耗尽这一资源,引入了工作集(WorkingSet)的概念。WorkingSet是内存管理一个相当重要的术语,在Win
2011-04-20 17:43:00
1704
转载 解析Windows NT/2000窗口对象的组织
<br />解析Windows NT/2000窗口对象的组织 <br /> WebCrazy(http://webcrazy.yeah.net/) <br /><br /> Microsoft Visual Studio提供的Microsoft Spy对Windows的窗口组织有非常直观的表现,在Windows视图下的Window Properties可以显示窗口的很多内容或属性。本文将从Windows NT/2000内核出发,说明这些重要的结
2011-04-20 15:21:00
1367
原创 变速齿轮分析
<br />各种变速齿轮基本上是通过hook一系列的时间函数进行的。<br />主要的hook方式有iat和inline。其中A变速器,采用的就是iat hook,其他的基本上都是使用inline hook的。<br />如果从驱动获取tickcount,可以部分inline hook方式的工具,而对于通过修改时钟的方式还不能。<br /><br /><br />使用Dos读取bios时间的方法<br />MOV AH,0 ;GET BIOS TIME <
2011-04-19 16:18:00
6174
原创 windows x64 vista以上系统代码完整性校验分析
<br /><br />.text:00000001400E63EE MiResolveTransitionFault mov eax, 0C0000428h<br />.text:00000001400E640D MiResolveTransitionFault mov eax, 0C0000428h<br />.text:00000001400E671C MiResolveProtoPteFault mov
2011-04-18 10:25:00
4446
原创 vista win7 64位在何种情况下可以加载未签名驱动
<br />vista 、win7 64位系统添加了代码完整性检查,也就是对那些没有加过签名的驱动程序,在这些系统上是无法加载起来的。如果是通过服务的方式加载驱动返回的是无法识别的错误号,如果你直接调用ntdll!zwloaddriver的话,那么这个返回值是C000428,不过如要通过这样的方式加载驱动需要有sc_loaddriver_privilege的权限。废话不说了,就说说怎么做可以让未签名驱动加载起来的。<br />1.通过F8,在系统起来时,进去,选“禁止强制驱动签名”<br />2.将系统设置
2011-04-13 14:50:00
3755
Compuware Devpartner Studio 9.0.2 Professional 种子和破解文件
2010-11-02
微软过滤驱动内存管理smbios说明等技术文档
2010-04-09
icrosoft Windows Internals Fourth Edition(2004).chm
2009-04-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人