- 博客(106)
- 收藏
- 关注
RSS订阅转载 [转载]Microsoft CryptoAPI使用心得
转载自此最近研究了一下MS CryptoAPI的用法,略有心得.如果需要使用非对称加密方案,MS CryptoAPI倒是一个不错的选择.l 每个用户都可以在获取CSP(CryptAcquireContext)时通过指定Container的名称来创建自己的Key Container;也可以使用NULL参数获取缺省的Key Containner;通过Key Containe...
2016-03-22 14:58:00
171
转载 SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
typedef ULONG KPRIORITY;typedef struct _CLIENT_ID{ HANDLE UniqueProcess; HANDLE UniqueThread;} CLIENT_ID, *PCLIENT_ID;typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
2015-08-28 10:46:00
477
转载 库依赖问题
如果在改成/MT或/MTd链接后导入表还是存在msvcrxxx.dll,应该是链接的其他库使用了/MD或/MDd编译链接。可以从wdk中复制一个msvcrt.lib,然后在项目属性--链接器--输入--附加依赖项中添加该msvcrt.dll.转载于:https://www.cnblogs.com/Acg-Check/p/4732710.html...
2015-08-15 16:47:00
125
转载 设置HttpSendRequest阻塞时间
BOOL bRet = InternetSetOption(NULL, INTERNET_OPTION_CONTROL_RECEIVE_TIMEOUT, &dwTimeout, sizeof(DWORD));转载于:https://www.cnblogs.com/Acg-Check/p/4711052.html
2015-08-07 15:55:00
527
转载 [转载]kerberos认证原理
前几天在给人解释Windows是如何通过Kerberos进行Authentication的时候,讲了半天也别把那位老兄讲明白,还差点把自己给绕进去。后来想想原因有以下两点:对于一个没有完全不了解Kerberos的人来说,Kerberos的整个Authentication过程确实不好理解——一会儿以这个Key进行加密、一会儿又要以另一个Key进行加密,确实很容易把人给弄晕;另一方面是我讲解...
2015-04-27 18:01:00
195
转载 [转载]关于NtCreateUserProcess和NtCreateThreadEx的参数
转自: http://hi.baidu.com/zzzevazzz/item/b2a9c9a4ea6805f615329ba7这两个Vista新增的系统服务函数原型未公开,目前网上搜索到的资料有些问题,特别是对于最后一个参数的描述不确切。首先说NtCreateUserProcess。网上找到的函数原型如下:DWORD newNtCreateUserProcess(PVOID ...
2015-02-10 13:22:00
759
转载 [转载]VB程序逆向反汇编常见的函数
VB程序逆向常用的函数 1) 数据类型转换: a) __vbaI2Str 将一个字符串转为8 位(1个字节)的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。 b)__vbaI4Str 将一个字符串转为长整型(4个字节)的数值形式(范围从-2,147,483,6482,147,48...
2015-02-03 11:15:00
90
转载 [转载]Delphi逆向
Delphi反汇编内部字符串处理函数/过程不完全列表名称参数返回值作用等价形式 / 备注_PStrCatEAX :目标字符串EDX :源字符串EAX连接两个 Pascal 字符串s:=copy(s+s1,1,255)_PStrNCatEAX :目标字符串EDX :源字符串CL :结果字符串最大长度EAX连接两...
2015-02-03 11:09:00
103
转载 中断和异常的处理
本文为<x86汇编语言:从实模式到保护模式> 第17章笔记中断和异常中断和异常概述中断和异常的作用是指示系统中的某个地方发生一些事件, 需要引起处理器(包括正在执行中的程序和任务)的注意. 当中断和异常发生时, 典型的结果是迫使处理器将控制从当前正在执行的程序或任务转移到另一个历程或任务中去. 该例程叫做中断处理程序, 或者异常处理程序. 如果是一个任务, ...
2015-02-03 11:08:00
540
转载 分页机制
本文为<x86汇编语言:从实模式到保护模式> 第16章笔记因为段的长度不定, 在分配内存时, 可能会发生内存中的空闲区域小于要加载的段, 或者空闲区域远远大于要加载的段. 在前一种情况下, 需要另外寻找合适的空闲区域; 在后一种情况下, 分配会成功, 但太过于浪费. 为了解决这个问题, 从80386处理器开始, 引入了分页机制. 分页功能从总体上来说, 是用长度固定...
2015-02-03 11:07:00
88
转载 任务切换
本文为<x86汇编语言:从实模式到保护模式> 第15章笔记 由两种基本的任务切换方式, 一种是协同式额, 从一个任务切换到另一个任务, 需要当前任务主动地请求暂时放弃执行权, 或者在通过调用门请求操作系统服务时, 由操作系统"趁机"将控制转移到另一个任务. 这种方式依赖于每个任务的"自律"性, 当一个任务失控时, 其他任务可能得不到执行的机会. 另一种是抢...
2015-02-03 11:06:00
136
转载 任务和特权级保护
本文为<x86汇编语言:从实模式到保护模式> 第14章笔记任务的隔离和特权级保护任务, 任务的LDT和TSS程序是记录在载体上的指令和数据, 总是为了完成某个特定的工作, 其正在执行中的一个副本, 叫做任务(Task). 这句话的意思是说, 如果一个程序有多个副本正在内存中运行, 那么, 它对应着多个任务, 每一个副本都是一个任务. 为了有效的在任务...
2015-02-03 11:04:00
107
转载 存储器的保护
本文为<x86汇编语言:从实模式到保护模式> 第12章笔记别名技术我们都已经知道, 在保护模式下, 代码段是不可写入的. 所谓不可写入, 并非是说改变了内存的物理性质, 使得内存写不进去, 而是说, 通过该段的描述符来访问这个区域时, 处理器不允许向里面写入数据或者更改数据. 但是, 很多时候又需要修改代码段, 如调试时加入断点指令int3. 不管怎么样, ...
2015-02-03 11:03:00
97
转载 进入保护模式
本文为<x86汇编语言:从实模式到保护模式> 第11章笔记以下图2, 图4和图5截自Intel手册全局描述符表全局描述符表中存放着段描述符, 每个段描述符8个字节.为了跟踪全局描述符表, 处理器内部有一个48位寄存器, 叫做全局描述符表寄存器(GDTR), GDTR分为两部分,分别为32位的线性地址和16的边界, 32位线性基地址部分保存的是全局描述...
2015-02-03 11:02:00
96
转载 前置病毒感染方式学习笔记
本文学习自:关于PE病毒的编写学习(一~六) by yangbostar代码也来源于此,经过一些修改,还不是很完善。如没有添加感染标记,检查感染的文件是否已被感染过。前置病毒,和资源感染类似,资源感染是病毒把宿主程序添加到程序的资源中,替换覆盖原程序,运行时将宿主程序释放成一个临时文件运行。前置病毒是读取病毒和宿主程序数据,然后将病毒和宿主程序数据再以病毒 --> ...
2015-02-03 11:00:00
134
转载 病毒资源感染方式学习笔记
本文学习自:关于感染型病毒的那些事(三) by gaa_ra代码也来自gaa_ra资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。进行资源感染后,打开感染文件的过程大致如下:CreateFile创建资源文件,用于存放要被释放出来的宿主文件 --> FindRe...
2015-02-03 10:58:00
135
转载 打造DLL内存加载引擎学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题首先看下我们内存加载引擎的流程。1.申请一段大小为dll映射内存后的映像大小的内存空间。2.移动各个区段的数据到申请的内存。2.修复引入表结构的地址表。4.通过重定位结构修复需要重定位的地址。5.调用DllM...
2015-02-03 10:57:00
71
转载 搜寻节空隙感染学习笔记
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题那么搜寻节空隙感染,最重要的就是找到我们节中存在的空隙。一般在病毒技术中,有两种方法。循环读取节表,然后分别在每个节中搜寻00机器码(因为默认编译器是用00机器码填充的),如果此00机器码区域的大小大于病毒的体积。则取这段...
2015-02-03 10:56:00
68
转载 扩展节形式感染学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 今天我们的感染方式是扩展末尾节,因为它很简单、稳定、快捷。那么扩展末尾节顾名思义就是针对被感染对象的最后一个节的扩展。将尾部节的大小扩充,然后将我们的病毒代码Write进去,修改若干的PE结构成员。 知道这些,你肯定会问修改哪些若干成员,为了...
2015-02-03 10:54:00
88
转载 变形PE头添加节形式感染学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 1> 变形PE头的原理: 这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融合到一起。因为我们都知IMAGE_D...
2015-02-03 10:53:00
104
转载 如何编写病毒代码学习笔记
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题如何编写病毒代码? 首先我把最重要的两个方面列举出来。 1. 处理病毒各个绝对地址的重定位。 2. 所有需调用的api函数地址,均通过动态搜索来获得。 做到以上2点,我们的病毒代码就...
2015-02-03 10:52:00
586
转载 PE结构、SEH相关知识学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题PE结构的学习原文中用fasm自己构造了一个pe,这里贴一个用masm的,其实是使用WriteFile API将编写的PE数据写成文件~也没啥好说的,PE结构在这里没有仔细介绍,需要可以另外查询,剩下要说的的基本都在代码注释里了参考:点...
2015-02-03 10:49:00
255
转载 hash扫描获得api函数地址学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题搜索获得api函数地址的实现我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢?它实际上是采用输出表结构来描述本dll需要导出哪些函数来供其他的程序调用,这样其他的用户程序才能正常的调用此动态链接库的输出函...
2015-02-03 10:45:00
114
转载 kernel32基地址获得学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题第一种方法通过线程初始化时,获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret...
2015-02-03 10:43:00
188
转载 病毒的重定位技术学习笔记
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码int g_nTest;__asm{call Dels00401004 call 0...
2015-02-03 10:42:00
208
转载 [转载]A Crash Course on the Depths of Win32 Structured Exception Handling
转自:[已完工][经典文章翻译]A Crash Course on the Depths of Win32 Structured Exception Handling原文题目: <<A Crash Course on the Depths of Win32™ Structured Exception Handling>>原文地址: http://ww...
2015-02-02 21:48:00
192
转载 [转载]PAE ( Physical Address Extension )
转自:http://blog.chinaunix.net/uid-20384269-id-1954602.html首先,内存访问和管理是一个跨越应用程序,操作系统,硬件平台的一个复杂过程,不能单纯的讲32bit系统就支持4G内存,从而认为这个过程只是OS和内存两者之间的关系理论上:32位系统,32bit的地址总线位数,寻址空间2^32B=4GB。 64位系统,寻址空间2^6...
2015-02-02 21:45:00
80
转载 [转载]Win7中的页目录
转自:http://user.qzone.qq.com/31731705/blog/1324046552 文章PAE下的虚拟内存映射 分析(http://user.qzone.qq.com/31731705/blog/1323414733)和PAE下的虚拟内存映射 实践(http://user.qzone.qq.com/31731705/bl...
2015-02-02 21:44:00
162
转载 [转载]PAE下的虚拟内存映射 实践
转自:http://user.qzone.qq.com/31731705/blog/1323426728 前文是理论分析,在此:PAE下的虚拟内存映射 分析(http://user.qzone.qq.com/31731705/blog/1323414733),理论需要结合实际,现在来实际体验一下。 随便选个进程,就当前进程吧,0...
2015-02-02 21:43:00
98
转载 [转载]Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值
标 题:【原创】Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值作 者:hrpirip 时 间:2012-12-06,12:45:36 链 接:http://bbs.pediy.com/showthread.php?t=159554 昨天在网上看到一段代码令大为不解,大家都知道一个虚拟地址到物理地址的转换伪公式为:*(*(*PD[(Virtua...
2015-02-02 21:43:00
141
转载 [转载]PAE下的虚拟内存映射 分析
转自:http://user.qzone.qq.com/31731705/blog/1323414733 PAE 即为物理地址扩展(Physical Address Extension),详细的内容请Google。 我的电脑是Win7,CPU是双核处理器,信息如下,0: kd> !sysinfo cpuinfo[CPU Inf...
2015-02-02 21:41:00
222
转载 [转载]页表项(PTE)地址计算公式的解释
转自: http://www.pediy.com/kssd/pediy10/62497.html在《JIURL玩玩Win2k内存篇分页机制(三)》中提到计算虚拟地址对应PTE地址的公式,如下:代码:PTE_Addr=(VirtualAddr>>12)*4+0xC0000000从虚拟地址转换到物理地址的过程来看,计算PTE需...
2015-02-02 21:39:00
287
转载 [转载]关于句柄表的一些文章
文章链接:1> Windows内核情景分析 3.4.1 Windows 进程的句柄表2> Windows 句柄表格式3> Windows句柄表分配算法分析4> 浅谈Windows句柄表5> 句柄啊,3层表啊,ExpLookupHandleTableEntry啊... 5楼-----------------------------...
2015-02-02 21:38:00
76
转载 [转载]静态分析nt!KiFastCallEntry
转载: http://bbs.pediy.com/showthread.php?t=89407在XP系统中,系统服务在内核的入口是KiFastCallEntry,我们从该入口开始,分析这一段代码都做了什么工作。 由于水平有限和背景知识不够,本人没有完全读懂它们,作为抛砖引玉,我先将我所看懂的和大家分享,希望大家多多指教! KiFastCallEntry的主要...
2015-02-02 21:35:00
316
转载 [转载]AVL树(一)之 图文解析 和 C语言的实现
概要本章介绍AVL树。和前面介绍"二叉查找树"的流程一样,本章先对AVL树的理论知识进行简单介绍,然后给出C语言的实现。本篇实现的二叉查找树是C语言版的,后面章节再分别给出C++和Java版本的实现。 建议:若您对"二叉查找树"不熟悉,建议先学完"二叉查找树"再来学习AVL树。目录1.AVL树的介绍 2.AVL树的C实现 3.AVL树的C实现(完整源码) 4.AVL树...
2015-02-02 21:32:00
69
转载 [转载]伸展树(一)之 图文解析 和 C语言的实现
概要本章介绍伸展树。它和"二叉查找树"和"AVL树"一样,都是特殊的二叉树。在了解了"二叉查找树"和"AVL树"之后,学习伸展树是一件相当容易的事情。和以往一样,本文会先对伸展树的理论知识进行简单介绍,然后给出C语言的实现。后序再分别给出C++和Java版本的实现;这3种实现方式的原理都一样,选择其中之一进行了解即可。若文章有错误或不足的地方,希望您能不吝指出!目录 1.伸展树...
2015-02-02 21:30:00
80
转载 [转载]DllMain中不当操作导致死锁问题的分析——DllMain中要谨慎写代码(完结篇)...
(转载于breaksoftware的csdn博客)之前几篇文章主要介绍和分析了为什么会在DllMain做出一些不当操作导致死锁的原因。本文将总结以前文章的结论,并介绍些DllMain中还有哪些操作会导致死锁等问题。 DllMain的相关特性 首先列出《DllMain中不当操作导致死锁问题的分析--进程对DllMain函数的调用规律的研究和分析》中论...
2015-02-02 21:27:00
85
转载 [转载]DllMain中不当操作导致死锁问题的分析——线程中调用GetModuleFileName、GetModuleHandle等导致死锁...
(转载于breaksoftware的csdn博客)之前的几篇文章已经讲解了在DllMain中创建并等待线程导致的死锁的原因。是否还记得,我们分析了半天汇编才知道在线程中的死锁位置。如果对于缺乏调试经验的同学来说,可能发现这个位置有点麻烦。那么本文就介绍几个例子,它们会在线程明显的位置死锁掉。 DLL中的代码依旧简单。它获取叫EVENT的命名事件,然后等待这个事件被激...
2015-02-02 21:26:00
81
转载 [转载]DllMain中不当操作导致死锁问题的分析--线程退出时产生了死锁
(转载于breaksoftware的csdn博客)我们回顾下之前举得例子caseDLL_PROCESS_ATTACH:{printf("DLLDllWithoutDisableThreadLibraryCalls_A:\tProcessattach(tid=%d)\n",tid);HANDLEhThre...
2015-02-02 21:22:00
98
转载 [转载] DllMain中不当操作导致死锁问题的分析--加载卸载DLL与DllMain死锁的关系
(转载于breaksoftware的csdn博客)前几篇文章一直没有在源码级证明:DllMain在收到DLL_PROCESS_ATTACH和DLL_PROCESS_DETACH时会进入临界区。这个论证非常重要,因为它是使其他线程不能进入临界区从而导致死锁的关键。我构造了在DLL被映射到进程地址空间的场景,请看死锁时加载DLL的线程的堆栈 如果仔细看过《DllMa...
2015-02-02 21:21:00
113
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人