anhkgg的专栏

啥也不能发

SuperRDP2：自适应支持Windows家庭版最新远程桌面SuperRDP2SuperRDP是在rdpwrap基础上重写的项目，用于启用Windows家庭版的远程桌面，并且支持多用户。SuperRDP已经发布1年4个月了，提交了60多次commit，给网友解决了近100个问题（issue)，支持了几十多个新版本的远程桌面。目前SuperRDP项目也有760左右的Stars，感谢大家对项目和我工作的肯定。有时候会同时收到很多网友的issue，需要支持他们的版本，其实还挺麻烦的，特别有时候忙的时候

由于工作需要，还在用vs2005这个老古董，虽然很不喜欢。虽然很轻，但有两个原因不喜欢：调试总要加载符号，不让加非加，慢的无语时不时总是无缘无故无法启动无法启动这个事已经无数次出现了，重装，重启，屏蔽Assist均是无效。后来无意间点击了C:\Program Files (x86)\Microsoft Visual Studio 8\Common7\IDE\devenv.com，可以启动了。但这次这个方法也不行了，实在是忍无可忍。决定干它。上调试器，启动devenv.exe。看到崩溃原

魔法电脑能够实时一键修改bios信息，无需重启，不破坏固件。官网http://www.hankeer.org/magic.html下载魔法电脑（MagicComputer）。运行魔法电脑，修改蓝色文字bios信息，点击魔法生效官网https://consumer.huawei.com/cn/support/pc-manager/下载电脑管家，双击正常安装即可搞定。具体操作视频可以看：https://www.bilibili.com/video/BV1zb4y1a77E...

让友商电脑兼容了一下华为系专属的多屏协同功能笔者注：文中出现的大写C，请轻声念出北京大爷的口头禅。华为刚发布多屏协同功能的时候，我就被种草了。后来一天在微博看到@Navis-MDT发布的一个体验视频，果然碉堡了。华为多频协同体验视频瞬间有点想从“米boy”转为“花粉”用户，这…当然是不可能的了。翻看微博回复，看到华为手机副总裁@李小龙Bruce_Lee也转发了该视频，并回复网友“为啥不...

作者：anhkgg日期：2019年11月3日很多时候，可能会对某个软件进行DLL劫持。而这个软件是否存在DLL劫持漏洞，需要去分析验证。比如通过IDA查看导入的DLL，或者LoadLibrary的DLL，然后慢慢排除某些KnownDlls，排除某些绝对路径加载的DLL…或者通过Windbg分析。虽然技术难度不高，但是挺费事的。本篇文章分享我找DLL劫持的方法，不一定是最佳，不过很...

作者：anhkgg日期：2019年10月4日最早接触沙箱，对它的印象就是：sandboxie。因为学的是安全相关专业，在网上下载东西非常谨慎，就算通过了杀毒软件扫描，但是也怕有后门或者其他东西，毕竟我也可以静态过掉杀软。很多软件没有官网，各种下载站的东西真的是让人不放心。所以在下载某些软件后，只要不影响功能，基本都会用sandboxie来运行软件。如果不行，则放到虚拟机里。所以我对...

唠叨群里有人推了个项目TgWechat，微信端对端加密插件，还特意@了我表示感谢，受宠若惊。隐私问题其实说了很久，有人说微信其实一直看着我们聊天，具体是怎么样的，咱也不知道，咱也不敢问吖…谁没个秘密呢，或者和朋友开个玩笑，或者和伴侣聊点"家常"，如果这些内容暴露在别人眼中，确实有点尴尬，但毕竟咱也没乱说啥吖…不过加密聊天也可有能会给某些人提供某些庇护，导致出现一些安全问题，这也是一个大问题...

9102年了，我想大部分人使用微信的频率应该都会高于QQ了吧。以前在QQ传文件的时候，哪里会想到会有文件大小限制，几G、几十G的文件随意传。而现在，用微信传文件，很尴尬，只能传100M或更小的文件。为什么做这个限制？我想可能是因为微信一开始就是手机应用。最初手机存储空间并不像电脑那么大，所以微信可能认为手机存不下（而现在256G是标配了）。更重要的是，手机使用流量，大文件消耗流量更多，...

很久没碰wx了，最近想写个东西，就重新拿了起来，最新版本2.6.8.65（此时已经2.6.8.68）。找到以前分析过的发送文本消息接口，发现函数大变样，很明显的vm痕迹。.vmp0:1131CE33 000 push 2493AC03h.vmp0:1131CE38 004 call sub_1134AEB3.vmp...

SuperWeChatPC开源开放开发者SDKanhkgg(公众号：汉客儿)2019年2月25日SuperWeChatPC刚开始仅仅只是PC微信多开工具，后来慢慢增加了更多功能，感谢朋友们的支持。为了方便更多开发者能够在PC微信做更多有意义的事情，现改变项目方向，提供两个针对不同人群的功能。普通用户依然可以直接使用原来的多开工具，直接下载可执行程序即可。针对开发者，提供WeCha...

一个go语言crackme分析by anhkgg(公众号：汉客儿)2019年2月23日0x01.先看看直接运行看看，尝试输入，看看结果。一个console的程序，有提示信息，入手点应该很明显，找字符串，或者printf，scanf之类的函数。查个壳，是tElock 1.0 (private) -> tE! *，没脱过，常规脱壳方法尝试弄不掉，百度一番看到挺多经验分享的，但都...

微信PC端技术研究-如何找到消息发送接口by anhkgg（公众号：汉客儿）2019年2月18日0x0. 前言准备工具：Cheat Engine，OllyDbg，IDA。前一篇（微信PC端技术研究(2)-保存聊天语音）已经说过CE是什么，也应用CE研究了如何保存微信语音，这篇继续使用CE和OD来研究一下微信的消息发送接口。思路大概是这样：在消息框中输入内容之后，通过CE找到内容地址...

0x0. 前言去年春杰也弄了个加密红包，主要技巧在使用了汇编xor变换口令。今年在30天抢红包的时候突然想起这茬，怎么的也得再弄一个吧。作为技术公众号，不能太low了，怎么通过技术来实现加密红包，设计思路是个问题。思前想后，突然想到前两天弄的语音聊天记录，计上心来。0x1. 设计思路先想好一段逼格满满的口令祝福语，然后呢，哈哈…1. 语音口令用我醇厚磁性性感的声音把红包口令念出来，通...

微信PC端技术研究-保存聊天语音by anhkgg（公众号：汉客儿）2019年1月31日2.6.6.280x0. 前言虽然一直知道CE，也用过一段时间，但一直用不好，可能太笨。最近又学习了某位大佬用CE的方法，大佬的一句话有点醍醐灌顶，然后有了新的感觉，然后开始尝试实践这篇文章。自己总结一下CE用法的核心思路：通过各种技巧搜索找到内存中关键数据，然后结合动态调试找到操作数据的函数...

很久没写驱动代码，最近又摸了一下。在驱动中回溯调用栈，找到特定模块，获取模块地址、大小、路径等信息，然后…。堆栈回溯驱动中通常使用RtlWalkFrameChain来获取调用栈信息，接口如下：ULONGRtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags);//Callers一个PVOID数组，保存栈中...

「神器」调试好帮手：神算子偏移计算工具by anhkgg2018年12月11日0x01.写在前面做逆向调试的小伙伴应该都遇到过这种问题：在同时使用两大神器OD(或Windbg)和IDA逆向某程序时，调试中模块基址经常变化，而在IDA中默认为0x400000（或0x10000000），所以在调试到某个点想到IDA整体对比分析一下的时候，发现计算地址真的好麻烦，特别时在经常需要计算的时候，...

微信PC端技术研究-消息防撤销by anhkgg2018年11月30日0x1. 写在前面不知道大家有没有遇到过这种情况，微信收到消息，但是没有及时查看，然后闲暇时去看的时候，消息被撤销了，撤销了！那时肯定是无比无语，挠心挠肺，究竟发了什么？有没有一种神器可以防消息撤销呢，有的！其实移动端和mac上已经有人做了相关的插件，但是PC端貌似没人来啃这块骨头。当然也可能是我没找到，不过不...

通用DLL劫持技术研究by anhkgg2018年11月29日写在前面Dll劫持相信大家都不陌生，理论就不多说了。Dll劫持的目的一般都是为了自己的dll模块能够在别人进程中运行，然后做些不可描述的事情。为了让别人的程序能够正常运行，通常都需要在自己的dll中导出和劫持的目标dll相同的函数接口，然后在自己的接口函数中调用原始dll的函数，如此使得原始dll的功能能够正常被使用。导出...