![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
c++
文章平均质量分 58
Gondon
mfc菜鸟
展开
-
设置系统屏幕关闭及系统休眠时间
#include <Powrprof.h>#pragma comment(lib,"PowrProf.lib")DWORD lockTime = 0;void SetPowerPolicy(){ SYSTEM_POWER_POLICY spp = { 0 }; CallNtPowerInformation(SystemPowerPolicyAc, NULL, 0, &spp, sizeof(spp)); //get power information ...原创 2021-12-27 18:59:07 · 430 阅读 · 0 评论 -
win10 win7双机调试
删除打印机 \\.\pipe\com_1"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" "-b -k com:pipe,port=\\.\pipe\com_1,resets=0,reconnect -y”bcdeditbcdedit /dbgsettings serial baudrate:115200 debugport:1bcdedit /copy {current} /d DebugEntry bcde...原创 2021-04-14 17:11:26 · 452 阅读 · 0 评论 -
蓝屏注册表
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]"AutoReboot"=dword:00000001"CrashDumpEnabled"=dword:00000001"Overwrite"=dword:00000001"LogEvent"=dword:00000001"MinidumpsCount"=dword:00000032"Dum原创 2021-04-08 11:03:45 · 486 阅读 · 0 评论 -
消息队列
消息队列存储在0环KThread - WIn32Thread(图形界面有值)->包含消息队列Thread.ServiceTable-KeServiceDescriptorTable->服务号大于100时 访问win32K.sys ->PsConvertTOGuiTHread -扩充内核栈 64K大内核栈 普通线程内核栈只有12K创建消息队列的结构体 挂到KTHread上Thread.ServiceTable->KeServiceDescriptorTableShadow..原创 2021-03-14 23:33:39 · 123 阅读 · 0 评论 -
进程内存
ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUSH_LOCK +0x0a0 CreateTime : _LARGE_INTEGER +0x0a8 ExitTime : _LARGE_INTEGER +0x0b0 RundownProtect : _EX_RUNDOWN_REF +0x0b4 UniqueProcessId...原创 2021-03-12 01:46:31 · 287 阅读 · 0 评论 -
复习
1.b获取自身句柄2.b得到自己的imagebase/sizeofimage3.b创建缓冲区 将自己复制进去4.b打开要注入的进程5. 在a进程申请内存,大小sizeofiamge6.修复b的重定位表7.将修复后的数据 拷贝到A进程中8.创建远程线程 执行b中的entry函数9.entry修复IAT表 表中地址记录的函数地址的值3环:FS:[0]指向的是TEB 加偏移 找到PEB0环:FS:[0]指向KPCR 64位在GS中 IA64在0x00000000fff00000KiW...原创 2021-03-10 02:35:50 · 146 阅读 · 0 评论 -
调用
KUSER_SHARED_DATAUSER:0x7ffe0000Kernel:0xffdf0000指向同一块物理页,但USER是只读 Kernel可写dt _KUSER_SHARED_DATAntdll!_KUSER_SHARED_DATA +0x000 TickCountLowDeprecated : Uint4B +0x004 TickCountMultiplier : Uint4B +0x008 InterruptTime : _KSYSTEM_TIME +0...原创 2021-03-04 02:01:59 · 265 阅读 · 1 评论 -
记录
段寄存器mov dword ptr ds:[0x123456],eax真正读取的地址是:ds.base+0x123456ES CS SS DS FS GS LDTR TR 共8个struct SegMent{ WORD Selector; //16位Selecter 选择子 WORD Atrributes;//16位Atrribute 属性 DWORD Base; //32位Base DWORD Limit; //32位Limit...原创 2021-03-03 01:33:06 · 208 阅读 · 0 评论 -
硬编码
定长指令:50-57 PUSH EAX--PUSH EDI58-5F POP EAX -- POP EDI40-47 INC EAX -- INC EDI48-4F DEC EAX -- DEC EDIB0 XX--B3 XX MOV AL,XX ---MOV BL,XXB4 XX--B7 XX MOV AH,XX---MOV BH,XXB8 XXXXXXXX--BF XXXXXXXX MOV EAX,XX---MOV EDI,XX91-97 XCHG EAX,ECX -...原创 2021-02-28 17:52:03 · 1003 阅读 · 0 评论 -
c++
struct A0{};struct A{ int a; int b;};struct AX{ int a; int b; int max() { if (a > b) return a; else return b; }};sizeof(A0)==1sizeof(A)== sizeof(AX)AX.maxlea ecx,[ebp-8]c...原创 2021-02-25 02:33:42 · 310 阅读 · 0 评论 -
PE笔记
参考http://www.blogfshare.com/pe-header-one.htmlIMAGE_DOS_HEADER STRUCT+00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 **************************************+02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages...原创 2021-02-20 01:35:42 · 85 阅读 · 0 评论 -
outlook 编程安全访问弹窗
Office Click-to-Run Installations:Same Bitness (32-bit Office running on 32-bit Windows or 64-bit Office running on 64-bit Windows):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\...原创 2018-08-07 10:10:30 · 201 阅读 · 0 评论 -
复合文档的二进制存储格式研究[ole存储结构]整理
复合文档文件格式研究(转) 前 言 复合文档(Compound Document) 是一种不仅包含文本而且包括图形、电子表格数据、声音、视频图象以及其它信息的文档。可以把复合文档想象成一个所有者,它装着文本、图形以及多媒体信息如 声音和图象。目前建立复合文档的趋势是使用面向对象技术,在这里,非标准信息如图像和声音可以作为独立的、自包含式对象包含在文档中。Microsoft Windows就是使用这...转载 2018-05-22 10:46:50 · 5725 阅读 · 1 评论 -
IHTMLDocument2 IE浏览器编程
执行script:IHTMLDocument2 *pHTMLDocument=NULL; if (!(pHTMLDocument = (IHTMLDocument2*)m_Ie.get_Document())) //获取 IHTMLDocument2 的接口指针 return;CString sScript = L"window.open(\'http原创 2017-03-27 14:32:44 · 4354 阅读 · 0 评论