- 博客(7)
- 收藏
- 关注
RSS订阅转载 Force a thread to enter the alertable state and execute the queued APC
<br />对网上相关知识的整理<br />http://www.codeguru.com/forum/archive/index.php/t-429599.html<br /> <br /> <br />目的: Force a thread to enter the alertable state and execute the queued APC?<br />Normal:<br />I want to queue a user APC to a thread in the other running
2010-11-18 12:40:00
1015
转载 APC相关知识
APC的理解<br />每个线程除了有单独的消息队列,还有一个APC队列(用来保存等待执行的APC函数);如果线程进入alertable状态时,发现APC队列中有情况,就跳过去执行,执行完毕后再回来接着处理消息队列。<br />线程调用过以下函数并且bAlertable这个标志被设置为True的时候才会使其处于Wait状态<br />能进入APC队列的回调函数和其他回调函数还有一个很大的不同:<br />可以参见<br />http://www.3k2.cn/article/Thread/78.html<b
2010-11-17 16:53:00
975
转载 Win7下DLL注入
<br />贴子http://www.debugman.com/read.php?tid=4739<br />1、Win7下Dll注入的方式还是可以绕过防火墙的<br />2、相比xp而言,vista/win7下过主防反而更容易了,二点理由部分主防在win7下的监控力度没有xp下强,比如 KIS2010,从他的驱动中可以看出来和谐的利用系统特性,比如UAC等,可以利用的例子比如KIS2010<br />贴子二:http://www.debugman.com/read.php?tid=5217&fpage=0
2010-11-16 13:09:00
3792
转载 DEP学习
<br />DEP-数据执行保护是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。<br />在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005 、 Microsoft Windows Vista 和 windows 7 中,由硬件和软件一起强制实施 DEP。DEP 有两种
2010-11-12 17:18:00
662
原创 从内存地址获取MODULE HANDLE的方法
<br />大家都知道我们可以使用GetModuleHandle 函数来获取制定MODULE的handle,前提是此MODULE已经被调用进程加载。一个module handle可以理解为是一个内存地址。<br />我们知道一个内存地址后,怎么得到相关的module handle呢?<br />下面的方法来自于codeproject<br /> //---------------------------------------------------------------------------//
2010-10-18 23:10:00
1747
原创 关于SetSecurityDescriptorDacl函数的使用
<br />参考资料来源:http://msdn.microsoft.com/en-us/library/aa379583(VS.85).aspx<br />此函数用来设置DACL中的信息。如果一个DACL已经在security descriptor中存在,那么此DACL将被替换。<br />函数原型如下:<br />BOOL WINAPI SetSecurityDescriptorDacl( __inout PSECURITY_DESCRIPTOR pSecurityDescriptor,
2010-10-14 09:26:00
7971
原创 C语言底层调用的实现机制
call指令其实隐式完成了一个push操作,把下一条语句的地址push进了堆栈,当然是在参数之后被push进堆栈。为了保持堆栈平衡,就要有一个pop相对应,这个pop在函数退出的时候由ret指令完成,类似于call,ret隐式完成了一个pop操作,把call压入堆栈的地址pop出去,然后回到了这个地址,也就是我们常说的返回地址。这里还涉及到一个调用规范的问题,其实核心就是堆栈由谁来平衡的问题,是由调用者还是被调用者。Windows的API函数声明为WINAPI调用,WINAPI其实就是__stdcall调用
2010-10-03 00:37:00
2026
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人