ccx_john-CSDN博客

转载科普文之iis写权限漏洞

今天特意跑到学校听了一堂课，然后学了很多东西，就写一个笔记，分享一下吧。都是本地环境，没有真实环境，我小白，别喷我。Iis写权限漏洞说明：这个漏洞的产生原因来源于服务器配置不当演示：利用IIS PUT Scaner扫描有漏洞的iis，此漏洞主要是因为服务器开启了webdav的组件导致的可以扫描到当前的操作，具体操作其实是通过webdav的OPTION来查询是否支持P

2014-07-11 10:52:17 2560

转载震荡波病毒C语言源码

#include #include #include #include #include #define NORM "\033[00;00m" #define GREEN "\033[01;32m" #define YELL "\033[01;33m" #define RED "\033[01;31m" #define BANNER

2014-07-06 15:50:29 2796

转载进程保护（带源码）

标题: 【原创】进程保护（带源码）作者: winnip时间: 2010-04-28,09:34:48链接: http://bbs.pediy.com/showthread.php?t=111885标题: 【原创】进程保护（带源码）作者: winnip时间: 2010-04-30,15:30:58链接: http://bbs.pediy.com/sho

2014-07-06 15:08:39 1462

不知道这篇文章算不算一个干货分享，与其说是干货分享，我感觉还不如说是对我自己的一个自我介绍。首先先简单的介绍一下我个人吧。在IT界（当然啦，是我的那个小圈子里），大家都叫我欢子。我是一个个地地道道的农民家庭出身。在大学中误打误撞的被调剂到计算机专业。被调剂对大家可能算是一种不幸，但我觉得对我个人而讲，被调剂到软件专业，我算是一种幸运，是上帝对我的眷顾。由于高考成绩不理想，上了一个小二本院校的专科。

2014-05-25 16:26:38 1001

转载如何取消打印机中删除不了的文档

第一步、复制这里：net stop spooler点击左下角的开始－再点击运行，右键将net stop spooler粘贴上去。点确定。第二步、复制这里：C:\WINDOWS\system32\spool\PRINTERS点击左下角的开始－再点击运行，右键将C:\WINDOWS\system32\spool\PRINTERS粘贴上去，再点确定，把里面的所有文件全部删除。第三

2014-05-25 16:22:57 889

转载无dll无进程木马源代码

#include//#include#include #include #pragma comment(lib,"Shlwapi.lib")//参数结构 ; typedef struct _RemotePara{ DWORD dwLoadLibrary;DWORD dwFreeLibrary;DWORD dwGetProcAddress;DWORD dwGe

2014-03-31 19:58:48 723

转载一个简单的木马原型基础代码

一个简单的木马原型基础代码添加上自己的XXX，加上变态的壳，做点小修改，就可以．．．．．#include#pragma comment(lib,"ws2_32.lib")#include#include #pragma comment(lib,"Shlwapi.lib")#include #include #include //参数结构 ;

2014-03-31 19:56:02 2753

转载如何截取QQ密码和聊天内容、去掉QQ广告栏、添加QQ尾巴

前言思路分析进入QQ进程远程注入DLL截取QQ登录密码截取本机QQ账号和昵称截取聊天内容增加QQ尾巴去掉QQ广告栏郑重申明结束语前言中国网民没有不熟悉QQ的，QQ玩家没有不知道珊瑚虫和彩虹的去广告显IP版QQ的，有段时间QQ尾巴也很盛行，就是每次聊天的时候它自动在你的聊天文字后面加一段话，欺骗你的QQ网

2014-03-31 19:52:29 1336

转载用程序模拟键盘和鼠标键盘

在Windows大行其道的今天，windows界面程序受到广大用户的欢迎。对这些程序的操作不外乎两种，键盘输入控制和鼠标输入控制。有时，对于繁杂的，或重复性的操作，我们能否通过编制程序来代替手工输入，而用程序来模拟键盘及鼠标的输入呢？答案是肯定的。这主要是通过两个API函数来实现的。　　　　下面以Delphi为例来介绍一下如何实现这两个功能。模拟键盘我们用Keybd_event这个a

2014-03-31 19:49:56 1177

转载利用底层键盘钩子拦载任意按键（回调版）

前段时间我曾经写过一篇《利用底层键盘钩子屏蔽任意按键》，并放到了我的blog上。这篇文章的题目中把“屏蔽”改成了“拦截”，显然要比以前的版本强一些了。对于以前写的那个DLL，有一个不够理想的地方，就是仅仅能实现屏蔽。如果想在屏蔽之前加入一些“小动作”，就只能修改DLL，在LowLevelKeyboardProc函数中添加代码，实现新的功能。但这样显然不够灵活，这样的DLL也不具备一般性了。所以我自

2014-03-31 19:49:09 772

转载利用鼠标键盘钩子截获密码。

利用鼠标键盘钩子截获密码。源码示例：http://zeena.nease.net/soft/GetPass_Src.rar钩子能截获系统并得理发送给其它应用程序的消息，能完成一般程序无法完成的功能。掌握钩子的编程方法是很有必要的钩子分类：1、WH_CALLWNDPROC和WH_CALLWNDPROCRET：使你可以监视发送到窗口过程的消息3、WH_DEBUG

2014-03-31 19:48:03 1096

转载 windows函数钩子实现

要求要了解PE文件结构，熟悉基本的windowsAPI。下面程序把原来需要调用user32.dll中的MessageBoxA函数用自己实现的MyMessageBox代替，也就是一个重定向的功能。 [cpp]// NormalProject.cpp : Defines the entry point for the application. // #include

2014-03-31 19:45:35 935

转载 VC++截取输入法输入信息钩子dll实现

我们在实现输入法的智能纠正的时候，需要获取输入法输入的信息，如何实现呢，钩子如下 [cpp] #include "windows.h" #include "imm.h" #include "stdio.h" //#define HOOK_API __declspec(dllexport) HHOO

2014-03-31 19:43:20 1263

转载关于HOOK,如何通过钩子截获指定窗口的所有消息

SetWindowsHookEx 第三个参数为HINSTANCE，通过FindWindow找到指定窗口句柄后如何得到该进程的HINSTANCE呢？这个参数应该是你调用SetWindowsHookEx的DLL的模块实例句柄，它可以经由DllMain入口的第一个参数得到。 HHOOK SetWindowsHookEx( int idHook,

2014-03-31 19:41:15 7366

转载 DLL劫持注入技术分析、过各种游戏保护！让你做你爱做的事情！

劫持DLL就是要制作一个“假”的DLL，但是功能又不能失真。可执行文件在调用某函数时，要加载该函数所在的DLL。如果我们伪造一个DLL，让它包含所有被劫持DLL的导出函数。可执行文件会运行加载伪造的DLL，在伪造DLL里面做我们自己想做的事情。 DLL注入与DLL劫持的比较： DLL劫持相当于一个定时的炸弹，只等待可执行文件双击运行，拔出导火线，而

2014-03-25 14:55:10 3838

转载 VC隐藏任务栏和桌面图标

HWND hTaskBar=FindWindow("Shell_TrayWnd",NULL);//find taskbar handle ShowWindow(hTaskBar,SW_HIDE); HWND hDeskIcon=FindWindow("Progman",NULL); //find desktop icons ShowWindow(hDeskIcon,S

2014-03-19 08:58:28 2339

转载 Setparent函数用法技巧

SetParent是一个API函数，它的作用是为一个物体指定一个新的父窗体。（父窗体严格来说应该是容器，我是这么理解的）.也就是把一个物体转到另一个物体上去 Setparent 的用法相当简单语法是： Setparent 物体句柄,目标句柄不过要想使它真正有实用价值却需要一定的知识及技巧. 比如你把一个按钮放到另一个窗体上（另一个窗体可以是其他程序中的）:

2014-03-18 10:53:23 21686 3

转载重载内核全程分析笔记

标题: 【原创】重载内核全程分析笔记作者: Speeday时间: 2013-08-20,20:19:46链接: http://bbs.pediy.com/showthread.php?t=177555还记得七夕的那几天，老V率先把AGP的源码发布出来，然后是EasyDebugger的源码出土，后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳，那段疯狂的日子，让看雪论坛都面

2014-03-04 17:24:29 677

转载病毒分析必备工具及基本流程

快毕业了也应该给自己定个明确的方向，对于病毒分析这方面的知识确实还是感兴趣的，这里收集了一些资料，给大家分享一下。以下来自乌龟，略有改动先说说硬件：条件允许的情况下，2条不同网络运营商提供的线路，2台或以上的电脑，具体配置自己感觉满意就行虽然用虚拟机也可以，但难免某些恶意代码有虚拟机检测机制，所以能用真机就尽量用了必备工具：Windows XP（别嫌弃老，老有老

2014-03-04 16:06:43 997

转载关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏，照样能HOOK成功确实，我当时也是这样过。。。不过拿给别人机器一测试就蓝了网上找到了MJ给出的答案：当使用大页面映射内核文件时，代码段和数据段在一块儿，所以页必须是可写的，这种情况下直接改是没有问题的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memor

2014-03-04 15:41:05 940

转载做了个隐藏进程跟保护进程的小工具

只支持1.24E，因为我们局域网都玩这个版本。。。以后可能会加入对其他版本的支持1.改键是用低级键盘钩子写的，以后会加入保存英雄改键记录功能，类似溪流的warKey。2.显蓝用的是别人的DLL3.踢人还是HOOK SEND4.全图就是写地址呗。。。源码完善后放出，另外没测试平台，应该过不鸟。。。

2014-03-04 15:40:14 2236 1

转载一步一步教你写DOTA外挂

好久木有研究DOTA了，整理篇小菜文章。首先，我们要提升外挂本身程序权限，使其能够有权限修改war3游戏的内存。这个c++可以使用如下代码[cpp] view plaincopyprint?void EnableDebugPriv()//提升程序自身权限 { HANDLE hToken; LUID sedebugname

2014-03-04 15:39:04 2169 2

转载多开限制的原理

1.创建新节法为程序加入一个全局变量，让这个全局变量可以被程序的多个实例所共享，每当程序实例运行时就对该全局变量进行修改。通过访问该全局变量，就可以知道有多少个实例在运行了。当然，为了系统的安全和稳定性，默认情况下是不允许这样做得。为了阻止这种事情的发生，系统使用了copy-on-write(写入时拷贝)机制，不过我们可以使用创建新节的方法来绕过它。1.创建节[

2014-03-04 15:37:41 1532

转载多开限制突破

1.Findwindow突破 bp FindWindowW，运行程序断下来，执行到返回，来到下面[cpp] view plaincopyprint?004F0E5C 8BF4 mov esi,esp 004F0E5E 68 B8466A00 push FindWind.006A46B8

2014-03-04 15:36:33 4187

转载 war3多开的实现

好孩子不怎么玩游戏，就拿这个练下手了，看郁的教程装了个热血，那个直接SetWindowText然后将游戏换个目录就可以多开。先运行一个Frozen Throne.exe，然后再运行一个提示“魔兽争霸资料片：冰封王座已经运行”，OD载入bp MessageBoxA下断，执行后ait+f9返回用户代码[cpp] view plaincopyprint?004010AE

2014-03-04 15:36:01 916

转载热血V60000自动打怪

1.怪ID：搜索十六进制FFFF（怪未选中时），切掉怪，搜变动的值（一般是小与FFFF），最后找到一个地址，查找访问0071d59b - mov edx,[eax+00001a5c] EAX=1FDBDDB8搜EAX的值，找到好多，选三个绿色的03E64D50 03E7C46C 03E78920小退一下回到选择人物窗口，再进去后用CE添加地址，看看这三个哪个是，结果发现除

2014-03-04 15:35:34 863

转载热血江湖V60000喊话

1. 喊话CALL查找思路：在聊天窗口输入一段文字，在CE中扫描这段文字的内容，wwh Evil0r 区分大小写，最终找到两个地址，一个是编辑框里面显示的内容，一个是真正喊话的内容查找访问编辑框内容（因为喊话肯定要读取这个编辑框的内容）：4403a9 OD进入分析，转到该地址下断，游戏中输入喊话内容在OD中断下来，往下拉可以看到有个call，代码注入器测试，成功喊话

2014-03-04 15:35:00 743

转载 QQ2011多开的实现

先运行一个客户端A，然后再打开一个客户端B，发现直接激活前一个实例。我们开着客户端A，OD加载再一个客户端F8单步走，发现跟到这个CALL的时候激活客户端A了，在这个CALL下断，CTRL+F2重新载入一下，F9运行断下来，执行到这个CALL我们F7跟进去然后F8再单步走，发现执行到这个CALL时又会激活客户端A，同样下断重新载入跟进去，在这里面我们F8继续单步跟，在这里单

2014-03-04 15:31:52 574

转载过QQ游戏大厅的SX保护

早些时间看郁金香的教程，写过qq游戏练练看的挂，那时候CE附加QQ游戏大厅的时候貌似是没有任何保护的，昨天舍友让做个斗地主的记牌器，但是，我用CE附加的时候，被检测到了，其实不附加也会被检测，所以猜测可能只是检测窗口进程或是模块名称啥的吧，被检测到的时候主程序会退出，但是那个对话框还在，就是那个SX什么什么的，所以如果是QQgame启动了某个线程来检测非法的话，在主程序退出其他线程对象都释放掉的时

2014-03-04 15:30:00 877

转载两款Android病毒应用代码分析

对应安卓，前景虽然不错，但给我的感觉就是市场有点混乱，不管好的还是差点甚至损人利己的应用都混在安卓应用市场中，近日在网上看到了联想应用安全检测与研究小组曝光了对两款安卓应用的病毒代码分析，在这里也呈现给大家。病毒应用一：疯狂四驱车 DreamRace4x4 Free检测结果：危险-PUSH广告/静默安装行为描述：该应用为一款免费竞速应用，画面较精美，流程也很流畅。经过乐商店

2014-03-02 09:00:23 2286

转载学OD -- 消息断点 RUN跟踪

学OD -- 消息断点 RUN跟踪这一篇讲的是消息断点和RUN跟踪的简单知识这一篇没怎么看明白大概使用知道了怎么用不太清楚。介绍本次软件特点输入后木有反应(纱布垃圾的。。哈哈)-- 消息断点 RUN跟踪" alt="学OD -- 消息断点 RUN跟踪" src="http://s10.sinaimg.cn/middle/906bb6a9nc61deb06a079&69

2014-02-28 13:06:04 1860

转载 mac地址修改教程

有些校园网络或单位里的网络每个IP地址与MAC地址是绑定的，如果换了一台电脑就无法上网，只有修改MAC地址之后才能上网。方法1右键单击“网上邻居——属性”。或者右键单击桌面下角的网络连接图标，然后点击“打开网络连接”。2右键单击“本地连接——属性”。

2014-02-27 11:29:04 832

转载 VMP 1.7 主程序破解方法

vVMP 1.7 主程序破解方法_转自Nooby2009-1-19 13:59评论(2) 引用(0) 阅读(2286) 引用地址：注意：该地址仅在今日23:59:59之前有效 Tags: 主程序 , nooby , vmp , 破解拿到程序一看,就1m,当即决定日掉. When I got the program, it was only 1mb, I im

2014-02-24 00:03:58 2373

转载手动脱壳VMP

个人总结的一个VMP脱壳步骤个人在学习脱VMP加壳的过程中总结的一个步骤。按照这个步骤，包括VMP1.6—2.0在内应该有70%-80%能脱壳。脱不了的也别问我，我也刚开始学习。我还想找人问呢。想要脱VMP的壳，首要工作当然是要找一个强OD啦！至于是什么版本的OD自己多试验几个，网上大把大把的，一般来说只要加载了你想脱的VMP加壳程序不关闭都可以。其次就是Str

2014-02-24 00:01:18 8184 1

转载过NP方法一

现在使用的ＮＰ系统已经和刚开始时使用的进步了很多，早期的ＮＰ可以直接用汇编把关键跳修改从而跳过ＮＰ监视，而现今使用的ＮＰ还挂钩了很多内核函数，所以很多关键系统函数就算我们在使用者层能跳过，后期也将使得游戏无法运行，所以直接跳过肯定不行，所以就开始考虑，如果我们不破解NP前提下读写游戏记忆体该怎么办？我知道方法主要有两种，一种是基于底层的调用驱动，模拟为系统驱动去调用内存，可以躲过ＮＰ的监视，因为这

2014-01-25 16:26:35 8462

转载在WinDBG中设置断点的命令

转自：http://www.cnblogs.com/awpatp/archive/2011/01/02/1924085.html命令==========~0 bp 02sample!KBTest::Fibonacci_stdcall "r esp"在零号线程上的KBTest类的Fibonacci_stdcall函数上设置断点, 并且在触发断点时执行"r esp"

2014-01-10 12:48:17 734

转载如何将WinDBG中命令的输出保存到文本文件中

转自：http://www.cnblogs.com/awpatp/从本质上说, 这个功能是WinDBG的日志功能的一个应用而已. WinDBG的log功能可以记录你在WinDBG中使用的每一个命令以及其对应的输出.那么如何开启WinDBG的日志功能呢?首先, 可以选择从命令行中启动WinDBG. 举例, 使用下面的带有-logo参数的命令:windbg.exe -l

2014-01-10 12:47:59 641

转载 WinDBG命令概览

转自： http://www.cnblogs.com/awpatp/WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令.===============标准命令===============标准命令用来提供适用于所有调试目标的基本调试功能.所有基本命令都是实现在WinDB

2014-01-10 12:47:35 614

转载 Windbg本机调试kernel

File-> kernel debug -> 弹出窗口上方，最右边那个选项卡Local ->点yes 即可系统必须是：WIN XP或以上的操作系统，其他都不行接下来就可以调试kernel了。Windbg命令很多，我将一点一点的学习，下面先学几个常用的命令。1.version获取本机windows的kernel信息，如下：lkd> versionWindo

2014-01-10 09:58:56 955

转载【原创】散谈游戏保护那点事~就从_TP开始入手吧

标题: 【原创】散谈游戏保护那点事~就从_TP开始入手吧作者: crazyearl时间: 2010-12-20,02:37:22链接: http://bbs.pediy.com/showthread.php?t=126802声明：本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。既是研究游戏保护，那么总要有一个研究对象。本

2014-01-09 21:33:41 2971

远程控制vc++源代码

空空如也