- 博客(61)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 膜拜菊苣的LM2
胡言乱语而已。光那个Loader就看得我瞎眼了。那个LocaleEmulator.dll更搞得狗眼都睁不开了啊。。。Loader就不多说了,也是改远程进程的EIP调用LdrLoadDll来载入LocaleEmulator.dll的,虽然我不懂为什么用上了Dbg相关的API,而且CreateProcess是用带有DBG标志来创建的。。这个新的LM应该是不支持Win7以下系统的。L
2013-01-10 23:18:11
2151
翻译 原文翻译:绕过Windows RT的代码完整性检查
今天见RT系统被破解了,作为一个Win32开发者我很高兴,所以找到了原文,人工为大家翻译了一下。其实我也看得一头晕,英语考试挂科的人,译得也许不咋样,不过原文大意算是表达的比较完整的。原文:http://surfsec.wordpress.com/2013/01/06/circumventing-windows-rts-code-integrity-mechanism/译文:解
2013-01-08 12:10:10
3682
1
原创 GetWindowLong跨进程获取WndProc、DlgProc。。。
在看雪提问,没人回答,只能自己折腾。。。标题虽然写是GetWindowLong,其实并不是GetWindowLong,只是按照GetWindowLong的内部实现改了下而已。。下面代码Win7及以上可用。。。要想XP用,XP下必需暴力搜索user32.gSharedInfo,搜索方法:user32的入口点往下看,CsrCononToServer那个函数下面。。。或者参照网上那个枚举全局Ho
2013-01-04 00:12:43
3124
原创 程序实现Win8任务管理器中的获取进程操作系统上下文
我装Win8后,就在那个任务管理器发现一个奇怪的东西“操作系统上下文”,实话不懂这个啥意思,不过貌似挺有趣的,就逆了一下,发现是NtQueryInformationProcess然后从PEB里面拿的,于是又Google了一下,发现国外已经有人折腾出来了,于是把各种结论转换成代码,如下:Private Const ID_WIN8_CONTEXT = "{4a2f28e3-53b9-4441-ba
2013-01-01 12:55:09
2149
1
转载 Mark一下:PE文件中的DEP和ASLR标志
转载自:http://hi.baidu.com/lisl03/item/66b21ca7dd7f193f020a4d36EXE文件中可选头的DllCharacteristics标志可以决定这个EXE文件是否使用DEP\ASLR技术,定义为:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x40 -> ASLRIMAGE_DLLCHARACTERISTICS
2012-12-27 15:45:56
2076
原创 Win8下枚举任意进程的句柄表。。。(VB6 Code)
添加一个Command1、一个List1,代码:Private Type PROCESS_HANDLE_TABLE_ENTRY_INFOHandleValue As LongHandleCount As LongPointerCount As LongGrantedAccess As LongObjectTypeIndex As LongHandleAttributes As Lo
2012-12-26 12:26:52
2410
原创 取得程序当前的EIP地址(x86)
Pascal 代码,原理相同的。{$APPTYPE GUI}{$MODE DELPHI}Uses Windows;Var dwEipTest:Pointer; strEipTest:QWORD;Function sprintf(lpOut:PChar;lpFmt:PChar):LONG;varargs;cdecl;external 'user32' name 'wspri
2012-12-08 01:36:51
2601
原创 Windows RT开放桌面API或能快速获得开发者的支持
似乎Windows的开发者也对Surface RT怨声不断,甚至比普通用户更大。微软官方的MSDN论坛上自从Surface RT发布以来就一直吵闹不休,众多购买了Surface RT的开发者俨然分成2派,一方面支持WinRT(多数是.NET/C#开发者),一方面又有不少人支持微软开放桌面API,以他们的话来说,就是跟WinRT比起来,还是Win32更具吸引力。不少开发者还抱怨他们想用的东西
2012-11-10 22:04:14
1162
原创 对 Windows 中未公开的对象 —— 事件对(EventPair)的实例探究
广大Win32程序员都对Windows SDK中的事件(Event)对象不陌生,这个是2个线程同步经常使用的东西,用法想必我也不需要多说了,可Windows中还有一个离奇的对象,叫做事件对(EventPair),关于这个对象不管是SDK还是MSDN都没有任何介绍,网上的资料也不多,很多人可能连这个对象是干啥的都不知道,这篇文章笔者就跟大家一起来看看这个神秘的EventPair对象。基于:R
2012-09-30 18:53:52
2940
原创 CoCreateInstance 跟踪笔记
CoCreateInstance用于创建一个COM Class Object,我从0开始分析这个函数并且解释一个个参数,让你对COM对象的创建有一个根本性的全面认识。程序传入OBJECT的CLSID和IID再call CoCreateInstance后(为什么需要CLSID和IID,等下再说),CoCreateInstance从注册表里面根据CLSID找到对应的dll文件,并使用LoadL
2012-08-20 11:57:47
4482
原创 GetProp和SetProp不使用字符串设置Window Props的简便方法
MSDN说SetProp的lpString可以是一个Atom,一个Atom的长度是0~65535,也就是我们其实可以用一个在65535之间的word值传给lpString,这样使用SetPropA和SetPropW之类的效率就没啥差别了,Prop函数不会操作你发过去的word值到底是不是一个Atom,所以也免去了字符串的ANSI到UNICODE的转换,查询的时候也快。比如uxtheme就这样用
2012-08-20 11:08:00
2466
原创 VB6获取快捷方式lnk文件的指向绝对路径
就是直接艹lnk的文件结构罢了。Private Declare Sub GetMem2 Lib "msvbvm60" (ByVal Ptr As Long, RetVal As Integer)Private Declare Sub GetMem4 Lib "msvbvm60" (ByVal Ptr As Long, RetVal As Long)Private Declare Sub M
2012-08-03 00:45:23
3085
原创 在程序中使用Windows 7的Aero Peek效果
Win7开始微软给系统加入了一个新的Aero特性“Aero Peek”,就是鼠标移动到任务栏右下角的那个小方块后,桌面上的所有窗口透明只剩边框。然后我无聊就把这个功能的调用挖出来了,让我们在自己的程序中也能使用。说实话,太无聊了这个功能的实现是dwmapi中一个未公开的113号apiHRESULT WINAPI DwmEnableAeroPeek( DWORD dwSt
2012-07-09 17:34:39
1634
原创 Windows 8 之ntdll的内核函数代理层变化
众所周知,ntdll作为UserMode通向KernelMode的入口,承担着最频繁的系统调用任务,可以说10年来,从2k到win7,从nt架构诞生以来,ntdll那些内核函数的中转代码基本上没有变化,一直如下图那样:坑爹的是,这个竟然在WIN8中改了?改了?!我擦。。。win8中是下面这样:首先win8开始不调用KiFastSystemCall了,全部转到函数偏移下面直接有一
2012-07-04 22:40:28
2514
1
原创 关于LPC,我要说的一些值得注意的地方。。。
这几天研究LPC,因为技术资料比较少,网上也只能找到仅有的一点例子,而且很多代码都不完整,我也没办法就蒙着脑袋做了,然后做下来,发现个SB到透顶的问题:NtCreatePort(NtCreateWaitablePort)创建的一个LPC的Port只能【对应一个Client】也就是一个Server Port不可能响应N个Client的请求,我设计的思路是NtCreatePort创建一个LPC端口
2012-06-17 17:09:13
3464
3
原创 Mark备查。。。Win8 RP的ntdll新增函数列表
Win7 SP1对比Win8 RP[C:\Users\Windows\Desktop\ntdll.dll] compare [C:\Windows\system32\ntdll.dll],file1 not:NtGetPlugPlayEventRtlEnlargedUnsignedDivideTpDbgGetFreeInfoTpPoolFreeUnusedNodes
2012-06-04 12:14:49
4069
原创 谈Windows 8 - 传统管理员权限的危机
其实这篇文章在3月的CP的时候就可以发了,只是我想看看微软在后面会不会有什么改进,因为CP实在太窝囊了,不管是API还是程序还是界面都乱成一团,直至现在RP的发布。RP这次的发布证明Win8的技术框架在CP的时候就已经定型了(RP发布快1天了,MSDN也没有对RP进行文档更新,DP和CP的时候提前1天就已经更新好了),而我们在RP上看到的更多只是对UI元素和程序体验上的改进和优化,说明前2个版
2012-06-01 22:18:29
1536
2
原创 VB6调用Windows7任务栏进度条的ITaskbarList3接口
如果说上次我发的那个直接调用R0函数的是鸡肋的话,这次这个就是有很好的实际应用的东西。大家都知道COM接口,COM就是一个虚函数表指针,VB6虽然支持COM的thiscall调用,可必需通过引用,而如果一些COM接口没有给基于VB6的引用,那VB6就残了,比如IStream之类的,这次的ITaskbarList3也是一样。我们先看看看一个COM接口在内存中的结构,这里我用VB6的方式写
2012-05-24 14:47:20
4260
5
原创 VB6实现Ring3下直接调用Ring0层函数,反一切R3下API Hook。
接论坛帖子:http://topic.csdn.net/u/20120518/18/9a00ec5c-b3d1-4a1f-9bc1-ba1a47b52463.html例子应用如下。我只是给一个方法给大家,这个方法肯定很麻烦,有需求的人可以用。添加Module1Private asm_CallCode() As Byte, KiFastSystemCall&, KiIntSyst
2012-05-20 13:30:02
6736
9
原创 对Win8的WinRT环境的一些个人探索
开发者预览版没装,就装了消费者预览版,折腾了很久,关于那个WinRT,有很多疑问:1、Win32 API是R3和R0沟通的一层纸,所有用户层下调用的函数最终都会通过int3进入内核(Win32——sysenter——Kernel),那WinRT是否也是这样的呢?内核驱动内,如ntoskrnl等会不会有WinRT函数的最终R0入口?还是说WinRT函数原始就是基于Win32写的,接口是W
2012-03-18 11:18:49
3853
1
原创 使用Windows 8新的压缩API进行数据压缩
昨天发布消费者预览版,今天安装好WIN8,第一时间就测试了这个看了很久的东西,开发者预览版没装,这玩意从开发者版本就有了,上个月翻MSDN时偶然看到,突然感觉太欢乐了,写出来了有必要分享一下。由于我没装VS11(下到明年啊),直接下了个VB6精简版就写了,反正也没啥大不了,而且VB代码也能让更多人看懂。枚举类型和API翻译自MSDN给出的C++原形。Private Enum COMPR
2012-03-01 20:32:18
4360
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人