- 博客(48)
- 收藏
- 关注
RSS订阅原创 关于windbg通过pdf,dump,符号文件定位到蓝屏代码
有时候是不能定位到FAULTING_SOURCE_CODE的!!!害的我以为配置出问题了,换个驱动又能定位到了,记录一下!~
2015-04-22 20:18:38
595
转载 关于在VS2013中添加头文件和lib的路径
在VS工程中,添加c/c++工程中外部头文件及库的基本步骤: 1、添加工程的头文件目录:工程---属性---配置属性---c/c++---常规---附加包含目录:加上头文件存放目录。 2、添加文件引用的lib静态库路径:工程---属性---配置属性---链接器---常规---附加库目录:加上lib文件存放目录。 然后添加工程引用的lib文件名:工程-
2015-03-26 18:06:04
11673
原创 关于WIN7+VS2013+WDK8.1做出一个.sys文件
先安装VS2013再安装WDK8.1然后会在新建VC++项目中找到driver工程,选一个空的WDM。在项目属性中把C++常规中的警告等级调到3级,不然会出现警告被当成错误然后添加如下代码测试#ifdef _cplusplusextern "C"{#endif#include "ntddk.h"#ifdef _cplusplus}#endifex
2015-01-24 17:21:41
2946
1
原创 DLLMain的入口函数不能创建新线程
微软官方有解释:PRB: Cannot Create an MFC Thread During DLL StartupSYMPTOMSAn MFC DLL that creates a new MFC thread during startup hangs when loaded by an application. This includes whenever a thr
2014-11-13 21:42:13
2264
转载 Radasm使用简明手册(中文版)
操作方面: 一、书签:SHIFT+F8为所在行下书签或删除书签(Crtl+0-9能定义存于文件中的10个书签),可通过编辑\书签\开关书签。(CRTL+F8为下一书签,F8为上一书签)二、列选择:拉框时用到,CRTL+B为切换行&列 拉框。三、展开 & 关闭模块 & 显示行号:CRTL+E为展开和关闭模块,在左下脚2 & 3小按钮是展开全部和关闭全部的方式,1是显示行号。四、显示API
2014-11-12 20:43:04
2758
转载 handle/hmodule/hinstance/hwnd的区别
handle 是代表系统的内核对象,如文件句柄,线程句柄,进程句柄。 hmodule 是代表应用程序载入的模块,win32系统下通常是被载入模块的线性地址。 hinstance 在win32下与hmodule是相同的东西,在win32下还存在主要是因为win16程序使用hinstance来区别task。 hwnd
2014-11-04 21:03:43
707
转载 MSVCRTD.lib(crtexew.obj) : error LNK2019: 和error LNK2001: unresolved external symbol
原因及解决办法产生这个问题的真正原因是c语言运行时找不到适当的程序入口函数,一般情况下,如果是windows程序,那么WinMain是入口函数,在VS2012中新建项目为“win32项目”如果是dos控制台程序,那么main是入口函数,在VS2012中新建项目为“win32控制台应用程序”而如果入口函数指定不当,很显然c语言运行时找不到配合函数,它就会报告错误。修改设置适应你的
2014-10-16 21:08:25
1450
转载 编写Win32病毒的几个关键
PE病毒是指所有感染Windows下PE文件格式文件的病毒.PE病毒大多数采用Win32汇编编写.PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.只有在PE病毒中,我们才能真正感受到高超的病毒技术.编写Win32病毒的几个关键Api函数的获取不能直接引用动态链接库需要自己寻找api函数的地址,然后直接调用该地址一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是
2014-10-15 12:41:56
771
1
原创 use of register assumed to ERROR
MASM编译器默认是把FS定义为error,所以在程序中要使用FS寄存器就要用assume fs:nothing 来声明,否则就会报错。
2014-10-13 10:58:50
1603
转载 register value overwritten by INVOKE
假设在一个子程序中有如下invoke指令: invoke Test, eax, addr szHello其中Test是一个需要两个参数的子程序,szHello是一个局部变量,会发生什么结果呢?编译器会把invoke伪指令和addr翻译成下面这个模样:lea eax,[ebp-4]push eax ;参数2:addr szHellopush eax
2014-10-12 00:22:49
906
原创 MASM 环境变量设置
@echo offset include=c:\masm32\includeset lib=c:\masm32\libset path=c:\masm32\bin;%path%echo onBAT程序跑不出来的,自己打开系统变量添加进去,
2014-10-06 15:56:20
4418
转载 MASM32 v11 汇编、连接及运行程序的方法
MASM32自带一个Quick Editor的编辑器,位于masm32目录下,名为qeditor.exe。作为一个IDE,Quick Editor让我们很方便地在其中进行编辑源码,连接并运行程序。注意:尽管Quick Editor支持拖放操作,但不推荐这样做。因为这种作法不能使QuickEditor自动地将当前目录设为所打开文件所在的目录,其结果,就是在连接时,提示找不到.obj文件。正确
2014-10-05 20:57:29
11197
原创 一段ExpandableListView应用,把它写成函数了
public void Return(){ final ExpandableListAdapter adapter = new BaseExpandableListAdapter() { public String[] groups = {"所获证书","2013优秀毕业设计","英语4级" }; public int[][] c
2014-08-01 12:14:07
387
转载 setContentView用法
android开发中如果想实现布局页面的跳转可以使用setContentView()设置跳转到需要的布局文件上面,实现代码如下:Java代码 package com.lyj.demo; import android.app.Activity; import android.os.Bundle; import android.view.View; import andr
2014-08-01 11:50:20
800
转载 OD断点小结
OD断点小结 API断点 Ollydbg中一般下API中断的方法,有二种。 1. 在代码窗口中点鼠标右键,出现功能菜单。在[搜索]选择项下有〔当前模块的名称〕和〔全部模块的名称〕俩项,选择其中的一项就打开了程序调用 API的窗口,在这个窗口中选择你要跟踪的API函数名。双击这个函数就能到程序的调用地址处。然后用F2下中断。也可以在API窗口中选择需要跟踪的函 数点鼠标右键
2014-07-24 18:13:11
369
原创 vs2012 未能加载visual c++ language manager package
http://www.microsoft.com/zh-CN/download/confirmation.aspx?id=36020 在此处修复下载并VS2012
2014-07-16 19:56:06
380
转载 RGB颜色对照表
颜色代码表 #FFFFFF #FFFFF0 #FFFFE0 #FFFF00 #FFFAFA #FFFAF0 #FFFACD #FFF8DC #FFF68F #FFF5EE #FFF0F5 #FFEFDB #FFEFD5 #FFEC8B #FFE
2014-07-15 23:50:14
2335
转载 Android程序开发:layout和src文件夹为空
Android SDK和ADT更新到23.0.0后(上一节介绍的方法),结果问题出现了,在创建一个默认的blank activity后,发现layout和src文件夹为空,没有默认的框架文件,原来以为是安装出问题,删除重装,还是没有办法解决。今天发现两个文件又有更新包了,不知道是不是Android SDK的23.0.0版本和ADT的23.0.0版本本身导致的问题,不过更新到23.0.1后解决问题了
2014-07-15 23:17:30
637
转载 关于Eclipse中原配Android模拟器卡机的问题
开发了android程序就知道,原生的模拟器启动比较慢,还会出现莫名的问题,这边介绍另外一种模拟器:BlueStacks:BlueStacks是一个可以让Android 应用程序运行在Windows系统(目前,该公司再次宣布推出Mac版Bluestacks模拟器。)上的软件,由BlueStacks公司推出。BlueStacks新版本App Player采用名为Layercake的技术,可以让针
2014-07-15 19:24:28
1653
转载 绕过驱动保护经典例子
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。我的做法是修
2014-07-01 18:59:10
3996
转载 【矛与盾】调戏调试器:反断点技术
首先声明,理解本文需要对用户态的调试器原理有所了解,否则可能有些内容会不理解。先来个测试程序,本文以分析和理解此程序为主。测试程序下载无论是逆向分析、还是脱壳破解,都离不开调试器。而windows下面用户态调试器最常用的,那就是OllyDbg了。现在就用OD载入并调试该程序,如下图所示。<img class="thumbnail" title="点击图片以查看大图图片名
2014-07-01 18:43:44
1143
转载 3个HOOK的低级驱动保护
【破解过程】需要工具 windbg 6.7汉化版 RkUnhooker 3.7 (请自行网上下载 资源很多)首先 安装后windbg 并运行它 与 RkUnhooker (无先后分别)然后运行 神鬼传奇 并将它更新到最新版本 游戏运行完后 停在登陆界面切换到 RkUnhooker 点 SCAN 向下看 我们看到 nt!NtOpenProcess nt!NtReadV
2014-07-01 18:41:07
706
转载 貌似只改了SSDT的驱动保护
b1b465b4 8bff mov edi,edib1b465b6 55 push ebp //这两行是内核的特征,凑足5个字b1b465b7 8bec mov ebp,espb1b465b9 83ec10 sub esp,10hb1b465bc 53 push ebxb1b465bd 8b5d14 mov ebx,dword ptr [ebp+14h] // 3参 Objec
2014-07-01 18:37:03
463
转载 VM保护技术
1.VM技术介绍我发现论坛上每当谈到虚拟机技术时,鲜有几人参与讨论,因为虚拟机技术还没有普及到大家的心中。VM 其实就是Virtual Machine(虚拟机)的缩写,这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。
2014-07-01 18:30:10
693
转载 SQL Server 事务语法
事务全部是关于原子性的。原子性的概念是指可以把一些事情当做一个单元来看待。从数据库的角度看,它是指应全部执行或全部都不执行的一条或多条语句的最小组合。为了理解事务的概念,需要能够定义非常明确的边界。事务要有非常明确的开始和结束点。SQL Server中的每一条SELECT、INSERT、UPDATE和DELETE语句都是隐式事务的一部分。即使只发出一条语句,也会把这条语句当做一个事务-要么执行
2014-06-15 21:57:46
479
转载 DB 13, 10, '$' ,int 21h详解
nl DB 13, 10, '$'13是回车10是换行 '$'表示已经到了字符串尾,不在打印字符了。int 21 调用参数
2014-05-29 21:52:27
3550
转载 RadAsm:object file not found
汇编IDE,好多人下载了RADASM,包括汉化版,安装之后新建masm的DOSAPP工程,编译不过,错误是LINK : fatal error L1093: first.obj : object file not found原因:原版的masm.ini配置文件里面有错误,缺少了参数,导致DOSLINK缺少参数,找不到obj文件。解决办法:1.(治
2014-05-25 14:26:39
1416
转载 error A2004: symbol type conflict
关于解决error A2004: symbol type conflict错误用masmplus写第一个汇编程序,程序很简单:;一个显示Hello World!程序DATAS SEGMENTSTRING DB 'Hello World!',13,10,'$'DATAS ENDSCODES SEGMENTASSUME CS:CODES,DS:DATASSTAR
2014-05-24 23:36:06
10963
1
转载 getText()之For input string:""
我这边发生这个错误的原因是:String类型转化成Integer时出了问题。错误代码如下:Integer tx4=Integer.parseInt(tb4.getText()); Integer tx5=Integer.parseInt(tb5.getText());空字符串不可以转换成integer/int类型。解决方法:代码改动如下Integer tx4=Integ
2014-05-21 22:42:46
626
转载 $(function(){...});
这是JQUERY的内置函数,表示网页加载完毕后要执行的意思,和JAVASCRIPT原来的这个是一样的: window.onload=function(){ //执行函数} 相当于 $(document).ready(function(){ } ) 或者:也是一个意思。
2014-05-07 13:50:25
381
转载 wampserver You don't have permission to access / on this server. 解决方法
最近在安装最近版wampserver 2.2 d时发现安装好后启动服务器,访问localhost显示You don't havepermission to access / on this server. 而在目录127.0.0.1下可以访问。造成这个问题的原因是Apache 的http.conf内的默认配置是# onlineoffline tag - don't remove
2014-03-29 15:44:40
446
转载 关于wamp启动是80端口被占用的问题详解(win7系统下WAMP 80端口被Microsoft-HTTPAPI/2.0占用的解决办法)
问题如下:网上有关于这个处理办法,说道:VS2010在更新了SP1后,会在开机时自动启动一个服务,占用WAMP的80端口,导致WAMP无法正常启动Apache。提示信息:Your port 80 is actually used by :Server: Microsoft-HTTPAPI/2.0Press Enter to exit...解决办法
2014-03-29 15:24:47
575
转载 OD快捷键使用大全
无论当前的OllyDbg窗口是什么,这些快捷键均有效: Ctrl+F2 - 重启程序,即重新启动被调试程序。如果当前没有调试的程序,OllyDbg会运行历史列表[history list]中的第一个程序。程序重启后,将会删除所有内存断点和硬件断点。译者注:从实际使用效果看,硬件断点在程序重启后并没有移除。Alt+F2 - 关闭,即关闭被调试程序。如果程序仍在运行,会弹出一个
2014-03-26 14:28:05
411
原创 今天用Hex工具修改登陆器目录的时候发现原EXE文件被毁了
今天用Hex工具更改登陆器的时候把Client改成Client1发现原EXE文件被毁了,但是改成Clien1的时候又可以,原来修改时必须保持原来占的硬盘容量不发生变动的位数,也就是与改之前的Client保持一样的硬盘容量字节数
2014-03-03 19:33:10
803
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人