chenhui530的专栏

博客搬家了，新的地址是：http://blog.sina.com.cn/u/1566896177

以前也发过一几篇关于卸载USB设备的文章，其实原理都是一样都是使用同一个API "CM_Request_Device_Eject_ExW"来完成卸载工作，上一篇是通过遍历USB接点实现，这篇文章直接通过USB 的VID和PID获取其对应的DevInst来完成卸载工作。本篇文章通过使用了WMI技术来实现了很多关键点的功能。 查了很多资料想了很多方法也没找到从一个USB盘符获取该USB设备的V

相信关注我的朋友都知道，我已经很久很久没再发过一篇文章了，就算只是贴代码的工作我也没再做过，我彻底失望了。本来还想花点时间好好整理博客，再发些c和驱动相关的文章，但是越来越发现csdn对于技术博客不看重，所以等待csdn认真对待技术博客的时候再来写。现在不做任何评论，相信大家能明白，希望关注我博客的人体谅。如果有什么技术需要讨论之类的可以加我qq 285305530 请附加相关信息。

加载驱动需要有加载驱动的权限使用前先加载“SE_LOAD_DRIVER_PRIVILEGE”权限 Option ExplicitPrivate Const STATUS_IMAGE_ALREADY_LOADED = Private Const HKEY_CLASSES_ROOT = Private Const HKEY_CURRENT_USER = Priv

Option ExplicitPrivate Const STANDARD_RIGHTS_REQUIRED = Private Const SC_MANAGER_CONNECT = Private Const SC_MANAGER_CREATE_SERVICE = Private Const SC_MANAGER_ENUMERATE_SERVICE = Private 

 Public Sub PrintProcessModules(ByVal dwProcessId As Long)    Dim ntStatus As Long    Dim objCid As CLIENT_ID    Dim objOa As OBJECT_ATTRIBUTES    Dim hProcess As Long    Dim dwVirtualAddr As Long   

 最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西，可以创建远程线程，也可以用来写多线程程序，但是在VB里好像还是不是很稳定只能用API。 这篇文章给大家一种不同于(CreateRemoteThread)但是原理是一样(都是通过ZwCreateThread创建线程)创建远程线程，实现注入和卸载功能。对于一些编写外挂，或者对Shel

 程序演示了在Ring0下通过FILE_OBJECT获取文件路径（至于怎么从EPROCESS获取FILE_OPBJECT就不要再问我了） BOOLEAN GetProcessImageName(PFILE_OBJECT FileObject,LPSTR ProcessImageName){ NTSTATUS ntStatus=STATUS_BUFFER_OVERFLOW; ULONG uS

 此程序是一个专业的病毒诊断分析程序。08-09-26修正版：修正了某些情况下会漏点一些进程没监控的情况 08-10-11修正四版：修正了在监视某些IE程序时路径过长导致的蓝屏情况http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20080926/最新诊断程序(修正版).jpghttp://

 “天琊 V1.0(测试版)”是一款集进程管理，文件管理，注册表管理，SSDT服务表管理，SHADOW服务表管理，内核模块察看，Inline Hook扫描，日志导出，保险箱，主动防御（主要针对保险箱功能）于一身的强大的安全反病毒辅助工具。进程管理：    提供了丰富的进程相关信息。分别有“状态”(主要是标志是否是隐藏进程和保护的进程，保护的进程主要是针对于保险箱功能的)，“映像名”（进程名），

声明：        此份代码参考了“Hook 系统服务隐藏端口”和http://topic.csdn.net/t/20050105/17/3701810.html#|的一些代码片断和内容，以及对iphlpapi的反汇编才有了这份代码。并且是在原文章"进程-端口-IP地址关联演示"补充和扩展。在"进程-端口-IP地址关联演示"中是没法获取远程IP地址和端口的，现在这份代码已经算比较完美的解决了

好久没写文章了，今天发个以前写的一个代码，本来是VC的今天专门转换成了VB，希望能给一些有用的人一些帮助。是高手就没必要看了，初学者可以学习下VB的指针操作，和NT系列函数的使用方法。代码下载地址是：http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20080722/FindFile.jpgOpti

今天可是个好日子啊~~就在这个好日子送给我们广大的程序大朋友们和小朋友们一个节日礼物，同时我也希望这份代码能给带来一些思路和技术上的提升，但是更希望大家能用到正途上不要搞歪门邪道。此代码的功能比较强悍，所以用到好的地方自然能发光，但是用到黑暗的地方可能会辱没了这份代码，希望大家认真对待这份珍贵的代码，我是专门花了一天时间写的，而且专门用VB语言写的，其实用C的话更简单更快，就是想在节日送给我们广大

#define SE_MIN_WELL_KNOWN_PRIVILEGE       (2L)#define SE_CREATE_TOKEN_PRIVILEGE         (2L)#define SE_ASSIGNPRIMARYTOKEN_PRIVILEGE   (3L)#define SE_LOCK_MEMORY_PRIVILEGE          (4L)#define SE_INCRE

折腾了一天终于把这个程序搞定了，是蓝了我N次屏变换了N多种方法，终于稳定实现了。目前只是SSDT 挂钩了NtOpenProcess，其实可以挂钩任何ring0下函数（理论上，只是其中很多非常麻烦，会把人搞死的^_^） .今天就此打住，算是有所突破吧。下次准备下个复杂点的inline hook的再加交互~~（是不是太复杂了，做了就知道了^_^）.注意：目前只支持xp，其实可以支持2k,和2003

这篇文章是参考下面地址修改而来希望对大家有用。此方法可以不需要引用IShellLink.http://www.vckbase.com/document/viewdoc/?id=1411  Private Type FILETIME        dwLowDateTime As Long        dwHighDateTime As LongEnd TypePrivate Type

在蓝了我N次屏的情况下，昨天完成了Ring0秒 的病毒诊断分析程序，初步测试效果还不错，自己模拟了些感染型病毒也能智能分辨出来，试着调试了些程序还算稳定，冰刃通过，但是在调试自己的进程管理器竟然蓝了，现在还在找原因。程序原理：使用SSDT HOOK来实现API的监管。对文件，进程，内存（只针对写，已经读写内核空间的函数） ，线程，驱动的加载进行了拦截以及一些常用的注入方式也进行了拦截。拦截函数

程序简介：         本程序是一个ring3级的病毒诊断程序，利用了ring3下的API   HOOK技术监视了特定程序和其所有子进程的文件，注册表，进程，线程，内存的全面操作，并记录在日志文件中（日志文件名叫“myText.txt”在和程序同一目录中）。通过此程序可以帮助一些专业人士分析病毒的行为，进而做出一些防范措施。程序从前天开始开发昨天初步完成。这两天一直在更新这个程序，增加了感染型

在发表文章之前得感谢一个人.一个非常不错,功力深厚的程序员,在进程方面有很深的研究.他就是--"炉子".帮我解决了一些问题 .说明:此工具在前天完成,昨天做了初步测试.支持2K/XP/2003/VISTA.比较稳定.但是提醒大家的是在使用前最好先保存你手上的工作,因为内核的东西一不小心就可能蓝屏,我也没办法保证100%没问题,不过大家放心使用,到目前为止只发现一个人使用存在问题.功能:此工

核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1