井底之蛙

原创 fedora16下安装mysql的问题

目前在fedora16下，yum安装mysql的最新版本是5.5.28，不幸的是在systemctl start mysqld.service阶段会报错。这是一个bug，不过还好有两个解决方法：1.  yum update systemd，然后重新安装即可。2. 先修改/lib/systemd/system/mysqld.service，把里面的PrivateTmp=true注释掉，或者改

原创 一个禁止任何ring3调试的驱动

#include #define MAKELONG(low, high) \((ULONG)(((USHORT)((ULONG)(low) & 0xffff)) | ((ULONG)((USHORT)((ULONG)(high) & 0xffff))) << 16))#

原创 检测调试器（过StrongOD）

放码(⊙_⊙)~~方法一：//GetCursorPos,WindowFromPointPOINT point;if (GetCursorPos(&point)){ char buf[256]; HWND hwnd = WindowFromPoint(po

原创 StrongOD hook的API

好久没写东西了~~：>SSDT StateNtCloseActual Address 0xF0389268Hooked by: C:\OllyDBG\plugin\whlsod.sysNtCreateProcessActual Address 0xF0

原创 Copy-On-Write机制，全局hook（二）

如果仔细阅读前一篇文章的话，就知道只要PTE的write(bit 1)位置1，就废掉了Copy-On-Write机制(解释一下，因为不可能产生异常了嘛)，为了不影响系统的运行，我找了ntdll的文件头(7c800000)做实验：!process 0 0.PROCESS 811ae9e0 SessionId: 0 Cid: 015c Peb: 7ffde000 ParentCid: 036c DirBase: 0997f000 ObjectTable: e15114

原创 Copy-On-Write机制，全局hook（一）

我本来想在ring3下全局hook，大约有这么几种方法：1: 用SetWindowsHookEx，安装的钩子类型，如WH_GETMESSAGE，WH_KEYBOARD等，但这种方法只能挂接系统中的所有GUI线程。2: 还有一种通过插入注册表来实现 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs,这种方法简单，但是还是只能挂钩GUI 程序，并且这个键值已经被广大HI

原创 source insight分析WRK源码

    source insight是一个出色的程序编辑器和代码浏览器，利用好它会给编写和阅读源代码带来极大的方便。想要配置好source insight可不是一件轻松的事，我比较喜欢深色背景有利于保护眼睛，但同时也必须更改代码颜色来匹配背景色，source insight的很多窗口、选项都可以指定字体、颜色，实在让人犯晕！最麻烦的是源码窗口的配置了，这里简单提一下，source insight的最终配色是由style Properties决定的（右键菜单-->style Properties）左边一栏是风

原创 C语言有bool类型吗

我到今天终于发现原来C语言是没有bool类型的，汗死……原来C++中才有，不过C99中新增的_Bool关键字可以表示布尔类型。C99关键字（ISO/IEC 9899:1999）autobreakcasecharconstcontinue^^^^^

原创 再次回想C库函数链接

<br />最近又开始瞎折腾起来了，有点弄不清对C库的链接。C Run-Time Libraries (CRT)<br /><br />The following libraries contain the C run-time library functions. C run-time library (without iostream or standard C++ library) Associated D

原创 emacs配色

    以前用color-theme感觉很勉强，现在终于配出了像source insight那样的效果，感觉不错。有图有真相： 哈哈，需要color-theme、cedet和zjl-c-hl，在http://emacser.com/上都有详细说明，下面是我的配色相关的lisp代码：(defun my-color-theme ()  "Colo

原创 JIT spray

找了一些JIT spray的资料，网上是这样说的“利用JIT在内存中制造可控可执行代码这个思路的确很有创造性。其意义不亚于Heap Spray，甚至可以和当年的JMP ESP相比较”，JIT spray好像是在黑帽大会上提出来的，据说可以过DEP和ASLR…… http://www.rayfile.com/zh-cn/files/92ab8f17-323e-11df-8b2a-0015c5

原创 Emacs、cedet、ecb

最近在玩Emacs（windows下），总觉得不顺心。按照http://bbs.chinaunix.net/viewthread.php?tid=1014134想玩玩cedet、ecb。emacs的启动速度明显变慢了，听说编译一下el的lisp文件会变快一些，所以就编译了一下cedet、ecbcedet：目前的最新版是1.0pre6但这个版本是没法通过编译的，据说此版windows版本有b

转载 空间格局随机化ASLR

1.     概述在前面安全编码实践中我们介绍过GS编译选项和缓存溢出，以及数据保护DEP。首先，缓存溢出的直接后果就是可能导致恶意代码的远程执行，于是编译器提供了GS保护。但是，GS选项有自身的局限，存在若干方法可以绕过GS选项的保护。于是进一步，操作系统提供了数据执行保护，即DEP，以及与之对应的NXCOMPAT编译选项。那么是不是现在我们就可以高枕无忧了？在安全领域中，系统的攻防是一

原创 Python or Ruby

http://blog.csdn.net/myan/archive/2008/01/07/2028545.aspxhttp://blog.csdn.net/gashero/archive/2007/06/03/1636030.aspx 我感觉还是python应用更广一些，Ruby的RoR做Web框架好一些吧，至于perl，现在感觉实在有几分苦涩……

转载 语言和女人的关系

 有的女人就像Windows 虽然很优秀，但是安全隐患太大 有的女人就像UNIX  她条件很好，然而不是谁都能玩的起 有的女人就像C# 长的很漂亮，但是家务活不行。 有的女人就像C++,她会默默的为你做很多的事情。  有的女人就像JAVA,只需一点付出她就会为你到处服务。  有的女人就像JAVA script，虽然对她处处小心但最终还是没有结果。  有的女人就像汇编 虽然很麻烦，但是有的时候还得求

转载 认识4G地址空间的局限----MMIO内存映射的问题

 一、4GB地址空间的局限首先我们还必须要先了解两个概念其一是“物理内存”。大家常说的物理内存就是指安装在主板上的内存条，其实不然，在计算机的系统中，物理内存不仅包括装在主板上的内存条(RAM)，还应该包括主板BIOS芯片的ROM，显卡上的显存(RAM)和BIOS(ROM)，以及各种PCI、PCI-E设备上的RAM和ROM。其二是“地址空间”。地址空间就是对物理内存编码(地址编码)的范围。所谓编码

原创 Subversion（SVN）使用

Subversion典型的工作周期是这样的： 更新你的工作拷贝 svn update  做出修改 svn add  svn delete  svn copy  svn move  检验修改 svn status  svn diff  可能会取消一些修改 svn revert  解决冲突（合并别人

原创 ReactOS debug（调试）

       看了N多ReactOS代码，总想调试一下，于是到wiki上去看了一下关于debug的方面的资料。主要有三种调试方式：Kdbg、GDB、WinDBG（http://www.reactos.org/wiki/Debugging）l         Kdbg方式这是ReactOS内建的调试机制，默认就是这种。但是Kdbg的调试客户端是什么呢？网上有篇文章说用fDebug，感觉太麻烦

原创 物理学全明星

原创 MmGetPageOp图示

 好看，哈哈……

原创 终于来书了！！

     十分敬佩毛德操老师，花重金买了他的《Windows内核情景分析》，发誓一定要好好研读，绝不浪费！！～～ 心无杂念、心如止水……阿弥陀佛～～

原创 Windows APC机制(二)

上文中讲到投递User Mode APCs是很特殊的，道理很简单，因为User Mode APC是ring3下的回调函数，显然ring0中的KiDeliverAPC（）不能像Kernel Mode APC那样直接call，必须要先回到ring3环境下。当然不能像普通情况那样返回（否则就回到ring3系统调用的地方了），只有一个办法，那就是修改TrapFrame ，欺骗系统返回“APC回调函数”！K

原创 Windows APC机制(一)

      异步过程调用(APCs) 是NT异步处理体系结构中的一个基础部分，理解了它，对于了解NT怎样操作和执行几个核心的系统操作很有帮助。1) APCs允许用户程序和系统元件在一个进程的地址空间内某个线程的上下文中执行代码。2) I/O管理器使用APCs来完成一个线程发起的异步的I/O操作。例如：当一个设备驱动调用IoCompleteRequest来通知I/O管理器，它已经结束处理一个异步I/

原创 Windows XP/2003 系统调用（二）

    上文说到sysenter后进入内核空间后的函数是_KiFastCallEntry，在/WRK-v1.2/base/ntos/ke/i386/trap.asm中，里头有好多定义常量、宏、结构，真是麻烦！先帖几个结构上来：typedef struct _KTRAP_FRAME {////  Following 4 values are only used and defined for

原创 Windows XP/2003 系统调用（一）

    今天在这里主要想了解一下Windows如何从ring3下的Win32 API转到ring0下的Kernel Routine。以NtReadFile为例：kd> u ntdll!NtReadFile （Win 2003 SP1）ntdll!ZwReadFile:7c821b78 b8bf000000      mov     eax,0BFh；（系统调用号）7c821b7d ba00

转载 冷雨敲窗无心眠

很多时候，过去是无从想念的。遗失了发黄的小照片，遗失了曾经保存很久的东西，遗失了枯萎的记忆。也许，总有些东西会留在生命最底处，深深浅浅的痕迹；当心轻轻拂过，已经不会感到疼痛，只有一笑而过得麻木。喝着咖啡，苦苦的滋味。我在想昔日的同学还有朋友，快乐与忧伤，一切都已经成为过去，依然能感受到的，是那份真实与感动。眼泪，悄悄滴落在咖啡杯里，透明的液体。记得有人说过，当眼

转载 RPC漏洞的通用分析方法

RPC漏洞的通用分析方法Friddy 文一．工具准备1.IDA Pro Advanced 5.2(强大的静态逆向工具)2.HexRays（强大的可以将汇编代码转换为高质量的C代码的IDA插件）3.mIDA（极好的抽象RPC接口的IDA插件）二．找到溢出点1.补丁比较。(1)保留没有更新的文件到文件夹Old   (2)打补丁，将更新后的文件放到文件夹New   (3)使用“Darun Grim”等类

原创 Prefast

     Prefast是微软研究院提出的静态代码分析工具。主要目的是通过分析代码的数据和控制信息来检测程序中的缺陷。需要强调的是，Prefast检测的缺项不仅仅是安全缺陷，但是安全缺陷类型是其检测的最为重要的部分。Prefast推出后在微软内部得到了广泛的使用，并经历了若干格版本的升级。现在，微软将这个内部工具商业化，以提供给外部的开发人员使用。 它能够帮助你找到编译器不能找到的错误或者

原创 基础啊……

#include #define paster( n ) printf( "token" #n " = %d/n",token##n ); /     printf("a/"/"b""c""/n")int main(int argc, char* argv[]){ int token9 = 9; paster(9); return 0;}最后输出什么呢,,,see Stringiz

原创 StartIO/CancelIO

     驱动程序中的StartIO，CancelIO比较复杂，也很可能出错。翻了一下WDK，删除了一些无关紧要的code，贴在这里方便以后查阅：BOOLEANIoCancelIrp(    IN PIRP Irp    ){    PDRIVER_CANCEL cancelRoutine;    KIRQL irql;    BOOLEAN returnV

转载 CPU同步机制漫谈

张银奎 yinkui.zhang@gmail.com更快是计算机世界的一个永恒主题。要做到更快有两个方向：一是提高串行执行的速度，二是并行计算（Parallel Computing）。并行计算又可分为同一CPU内部多个流水线间的并行、同一个系统内多个CPU间的并行、和同一个网络中多个计算机系统间的并行。当并行运行的多个任务彼此无关，互不依赖时，整个系统的性能是最高的。但在现实的并行计算中，

原创 winInet编程

1.GET方法 pSession=new CInternetSession("Agent"); //User-Agent          CHttpFile* pFile = NULL;        CString strCookieData="name+xxxxxxxxxxxx";        char PacketBuff[1024];        ch

转载 李一男2003年在港湾给开发人员培训时的语录

【1】好好规划自己的路，不要跟着感觉走！根据个人的理想决策安排，绝大部分人并不指望成为什么院士或教授，而是希望活得滋润一些，爽一些。那么，就需要慎重安排自己的轨迹。从哪个行业入手，逐渐对该行业深入了解，不要频繁跳槽，特别是不要为了一点工资而转移阵地，从长远看，这点钱根本不算什么，当你对一个行业有那么几年的体会，以后钱根本不是问题。频繁地动荡不是上策，最后你对哪个行业都没有摸透，永远是新手！【2】可

原创 编译器的一些参数

    继续昨天的话题，用WDK6001编译驱动用了这么一些关键选项：(CL.exe)/Zl：省略 .obj 文件中的默认 C 运行时库名称。默认情况下，编译器将库名放入 .obj 文件中，以便使链接器指向正确的库。/Oi:生成内部函数,前一篇文章已经讲过了，（Cheack模式有，Free模式却没有） (Link.exe)/NODEFAULTLIB  在解析外部引用

原创 C语言库函数的连接

        以前没怎么注意这个，知道今天搞驱动的时侯才注意到！我在debugman上自问自答，这里在写的详细一点：现在最新的WDK6001.18002，改了驱动入口点/entry:GsDriverEntry@8 “Windows Vista and Windows Server 2008 x86 Checked”的驱动连接了1>E:/WINDDK/6001~1.180/li

原创 慢慢往前爬^_^

        每天向前爬一点点，，，就一点点……

原创 复杂的中断系统

没想到在我们的computer中，整个中断系统是那么复杂……一时消化不了，等以后有时间慢慢咀嚼！先写一点点点：PIC：一般是2个8259A联级APIC：分为Local APIC”（LAPIC）和“I/O APIC”（IOAPIC）。系统中每个（逻辑上的）CPU 一般都有一个片上的 LAPIC。因此，若系统有四个 CPU 则有四个 LAPICs（注意，因为是每个逻辑处理器有一个 LPIC

原创 几个驱动开发环境

VS2008、DDK XP和DDKWizard搭建驱动开发环境：http://bbs.pediy.com/showthread.php?t=69395QuickSYS：http://www.codeproject.com/KB/applications/quicksys.aspx?df=100&forumid=2791&exp=0&select=583645EasySYS：ht

原创 装了VS2008

今天发飙了，删了VS2005，IFS2003，DriverStudio。装了WDK，VS2008！！卸了半天，下了半天，装了半天……微软搞得越来越庞大，强烈反感＃￥◎￥＃……

原创 ring0学习任务门

rootkit ring3进ring0之门系列[三] -- 任务门http://bbs.pediy.com/showthread.php?t=62510来练习一下^^先在GDT表中找出所有的TSS段描述符  0028  80042000  000020AB   0   P   1b   32-Bit TSS (Busy)//0050  8054A300  00000068   0   P