多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

要实现监控系统线程和进程，并实现对指定线程和进程的保护，在 32 位系统上可以使用 HOOK 技术，HOOK 相关的函数来实现。但是，到了 64 位平台上，就不能继续按常规的 HOOK 方法去实现了。好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调，可以用来注册系统线程回调，监控系统的线程创建、退出等情况，而且还能进行控制；也可以用来注册系统进程回调，可以监控系统的进程创建、退出等情况，而且也能进行控制。这使得我们实现保护指定线程、进程不被结束，提供了可

1.点击通知，找到并进入“所有设置”。2.在所有设置中找到并进入“更新和安全”3.找到恢复，点击“高级启动”下的“立即重启”，重启电脑。4.重启后选择“疑难解答”。5.选择“高级选项”6.选择“启动设置”。7.点击“重启”。8.按提示输入“7”禁用驱动程序强制签名。...

今年7月份，国外研究机构发现了一个比较新型的恶意软件，这个恶意软件不会在系统上安装任何文件，而是藏身在windows的注册表中通过rundll32.exe执行JavaScript代码。听上去确实很有意思，通过rundll32.exe来执行js代码，那么它究竟是怎么实现的呢？我们一起来研究下。实现代码很简单 1 rundll32.exejavascript:...

一、Intel保护模式、实地址模式和虚拟8086模式指令格式(x86) 　　　　　　　　　　　　　　　　　　图在Intel手册Volume2 2.1章节　　1.1）Instruction Prefixes：指令前缀，可选项，每个前缀一个字节，可选0个前缀到4个不等；指令前缀分为四组，每组都允许设置指定的前缀代码。　　　　Group 1：锁定和重复前缀。　　　　Group 2：段...

Starting with Windows Server 2008 and Windows Vista with Service Pack 1 (SP1), Windows Error Reporting (WER) can be configured so that full user-mode dumps are collected and stored locally after a use...

CSDN客服如何联系，CSDN帐号异常解决方法，有知道的CSDN友友吗？

转自：http://tangxingqt.blog.163.com/blog/static/2771087220098214755269/ 参考资料1、VS2005解决"应用程序配置不正确，程序无法启动"问题2、VS2005安装文件 "由于应用程序配置不正确，应用程序未能启动"3、Microsoft Visual C++ 2008发布程序的部署问题4、VC编写的程序不能在其他机器上运行的解决方案新...

BOOL GetProcPath( __in BOOL bCurrentProc, __in ULONG ulPid, __inout LPTSTR lpProcPath, __in ULONG ulProcPathBufLen ){ BOOL bRet = FALSE; HMODULE hModule = NULL; HANDLE hProc = NULL; DWO...

原文链接:https://support.microsoft.com/en-us/help/94248/how-to-use-the-c-run-timeHow To Use the C Run-TimeSummaryThis document contains the following sectio

调试寄存器 原理与使用：DR0-DR7下面介绍的知识性信息来自intel IA-32手册（可以在intel的开发手册或者官方网站查到），提示和补充来自学习调试器实现时的总结。希望能给你带去有用的信息。（DRx对应任意的一个调试寄存器。LENn对应任意一个长度。Ln对应任意一个局部置位）DR0-DR7可以直接被读写操作（MOV 指令之类的，DRx可以是源操作数也可以是

引用链接： http://blog.csdn.net/qq125096885/article/details/53161169#include #include typedef struct _REINIT_PACKET {LIST_ENTRY ListEntry;PDRIVER_OBJECT DriverObject;PDRIVER_REINITI

原文链接:http://mcdermottcybersecurity.com/articles/windows-x64-shellcodeWindows x64 ShellcodeJanuary 11, 2011ContentsIntroductionRIP-Relative AddressingAPI Lookup

原文链接:http://club.autohome.com.cn/bbs/thread-o-200099-60070613-1.html#pvareaid=2199101行程1 浅谈构图   >=====================================================【出发时间】2017-1【旅行周期】1-3天【人均费用】

目的：     遍历系统中的回调类型：     与Xuetr遍历到的类型相同     如有雷同，还望见谅。。。有错误或者不恰当的地方请指正。     附件中代码大量冗余，可以将相同的部分写成一个函数，一开始没注意，懒得改了。。。详细实现见代码环境：     WIN XP SP3   大量使用硬编码，本次仅在于实现我的虚拟机环境下的遍历，没有考虑寻找通用方

这几天在弄公司的 阿里云ECS服务器 结果找不到mysql数据库的密码了 , 我自己搞定之后整理如下先以root身份SSH连进ECS主机一、首先尝试了查找安装数据库时的默认密码，一般在account.log 账户文件里 位置大概是在  /root/类似sh-1.3.0-ubuntu/account.log   直接  cat  account.log 打

+关注改革开放以来中国的经济发展实践，实际上带来了两个重要结果。其一是中国经济的迅速崛起，创造了奇迹；其二是中国经济的资本化，中国经济已成资本化的市场经济，市场已经为资本所控制，价格信号只能反映资本的需求，而掩盖和压抑实体经济本身的需求。第一个结果已经引发全球的瞩目，第二个结果却被忽视了。中国经济之所以出现了资本化，进入了资本化时代，原因在于中国出现了资本过剩，这些过剩的资本超越了

最普通最常用最一般的方法就是用submit type，另外，还有一种常用的方法是使用图片，接下来为大家详细介绍下其他的方式，感兴趣的你可以参考下足以轻松应付表单提交最普通最常用最一般的方法就是用submit type..看代码： 复制代码代码如下:   另外，还有一种常用的方法是使用图片： 复制代码代码如下:   

Apache默认在当前目录下没有index.html入口就会显示网站根目录，让网站目录文件都暴露在外面，是一件非常危险的事，例如：数据库密码泄露，隐藏页面暴露等严重安全问题！例如，访问米扑网站根目录: https://mimvp.com    会列出根目录 本文将详细介绍如何操作禁止显示apache网站根目录进入apache的配置文件 httpd.con

目录(?)[-]一 常用开源工程简介Python GPIOwiringPiBCM2835 C Library二 树莓派GPIO编号方式功能物理引脚BCMwiringpi三 WiringPi GPIO说明wiringPi安装 1使用GIT工具 2直接下载 3raspbian使用apt-get安装测试样例代码编译运行四 BCM2835 C Lib

Web和数据库技术在嵌入式技术中得到越来越广泛的应用，本专题我们来研究如何构建一个嵌入式Linux +web +php+sqlite 平台。 一、 工作软件平台配置桌面Linux版本： Ubuntu10.04 – LTS交叉编译器版本： arm-linux-gcc 4.4.3 设置好系统移植编译相关的环境变量，后面编译时用的到，设置方法如下：

1、使用:sudo passwd root设置root的密码，如下图所示：2、使用su root来测试是否可以进入root用户，如果出现#说明已经设置root用户的密码成功，如下图所示：3、进入到/usr/share/lightdm/lightdm.conf.d/目录，使用gedit 50-unity-greeter.conf &命令打开50-unity-greeter.c

在windows 7/vista/2008用WinDBG调试时显示KdPrint信息 收藏在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager新建一项Debug Print Filter，新建一个DWORD值，名称为DEFAULT，(注意：必须全部是大写)值

Vs2008 可以ctrl+alt+m+(1/2/3/4)内存窗口，ctrl+alt+r  寄存器窗口，ctrl+alt+d 汇编窗口，，也可以调试--》窗口-->内存  进行选择视图----其它窗口----命令窗口先启动调试，然后输入Memory关于更多的命令：命令名    　　　　别名  

最近碰巧读了Ivan Shcherbakov写的一篇文章，《11个强大的Visual Studio调试小技巧》。这篇文章只介绍了一些有关Visual Studio的基本调试技巧，但是还有其他一些同样有用的技巧。我整理了一些Visual Studio（至少在VS 2008下）原生开发的调试技巧。（如果你是工作在托管代码下，调试器会有更多的特性，在CodeProject中有介绍它们的文章），下面是

我的上篇文章《Vistual Studio原生开发的10个调试技巧》引发了很多人的兴趣，所以我决定跟大家分享更多的调试技巧。接下来你又能看到一些对于原生应用程序的很有帮助的调试技巧（接着上一篇文章来编号）。这些技巧需要应用在Vistual Studio 2005 或者更新的版本中（当然也有一些适用于旧版本）。如果你能阅读本文中推荐的一些相关文章，就可以知道每一个技巧的更多信息。11. 

使用DebugView打印内核调试信息是开发驱动的非常重要的手段，但DebugView在VISTA/WINDOWS 7下却无法获取内核的调试日志，GOOGLE搜了一下，问题是出在DbgPrint上面，修改方法是：HKLM\SYSTEM\CurrentControlSet\Control\Session Manager，打开或者创建子项Debug Print Filter，然后新建一个DWO

运行环境操作系统: windows XP CPU : intel i3-390M 状态: 单核运行驱动没有卸载部分,测试前请先保存好文档.在 boot.ini 文件中添加 /numproc=1,重启传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激!关于V

https://github.com/leanote/leanote/wiki本教程适合 Windows 用户的二进制版安装。Windows 用户的源码版安装，参见这里。Mac, Linux 用户的二进制版安装，参见这里。Mac, Linux 用户的源码版安装，参见这里。安装步骤:下载 leanote 二进制版。安装 mongodb。导入初始数据。配

关于IDA插件列表https://github.com/onethawt/idaplugins-list自动化分析WMhttps://github.com/anatolikalysch/VMAttack

VBS脚本常用经典代码1、VBS获取系统安装路径/*先定义这个变量是获取系统安装路径的，然后我们用“&strWinDir&”调用这个变量。*/setWshShell = WScript.CreateObject("WScript.Shell")strWinDir= WshShell.ExpandEnvironmentStrings("%WinDir%")2、VBS获取C:/Pr

注册输入法输入法的安装和普通应用程序有一个大的区别是，除了复制文件到安装目录、做一些必要的设置外，还需要向Windows系统注册这个输入法。我们前期一篇博文 TSF（Text Service Framework）简介中谈到，Windows有两种输入法的框架，IMM32和CTF。下面分别说下两种情况的注册。IMM32框架每个输入法要将自己注册为一个Keyboard

大家常常会遇到mstsc 远程桌面的时候，发现本地和远程之间不能够复制和粘贴文本内容，大家可能会很疑惑，我远程的时候明明在“本地资源”里面勾选了“剪贴板”，但为什么还不能用，原因就是因为“rdpclip.exe”这个进程没有正常工作。 解决办法：       在服务器上打开任务管理器（Ctrl+Alt+Del或者是Ctrl+Shift+Esc，也可以右键点击任务栏，选择

1、将文件checkout到本地目录    svn checkout path（path是服务器上的目录）    例如：svn checkout svn://192.168.1.1/pro/domain    简写：svn co 2、往版本库中添加新的文件    svn add file   例如：svn add test.php(添加test.

国外有一家学院的研究机构发布了所有证券分析软件公式算法函数。  如果要用的话，要遵守GPL，采用的TA-LIB的名字，要署名。  地址：http://ta-lib.org/hdr_doc.htm。

C++以及MFC的命名规则基本上是符合匈牙利命名法的，匈牙利命名法是一种编程时的命名规范。基本原则是：变量名＝属性＋类型＋对象描述，其中每一对象 的名称都要求有明确含义，可以取对象名字全称或名字的一部分。命名要基于容易记忆容易理解的原则。保证名字的连贯性是非常重要的。　　      举例来说，表单的名称为form，那么在匈牙利命名法中可以简写为frm，则当表单变量名称为 Switchboa

当直接使用T2A W2A A2W，在编译时会出现报错：error C2065: “_lpw”: 未声明的标识符 等解决方法: 增加头文件  #include并在使用T2A等前加上语句 USES_CONVERSION;

http://blog.csdn.net/hgy413/article/details/6956847目录(?)[-]文本搜索二进制搜索替换16进制1.文本搜索IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text（热键：ALT+T）命令启动文本搜索选择Find all occurences（查找所有结果），

批处理、Bat 产生指定范围随机数字的代码，需要的朋友可以参考下下最近研究批处理命令，偶然发现，居然还有随机数，在此之前，是未敢想过。 说到随机数，不同的软件都有随机函数的功能，使用方法大体类似，但却有着区别。 本文，给您介绍一下MS-DOS中的批处理命令random的用法及实例。 一、random的取值范围 　　要使用random，必须将其当作一个变量来使用，这样

https://github.com/BreakingMalwareResearch/atom-bombinghttps://github.com/BreakingMalware/PowerLoaderEx

http://www.cnblogs.com/lanrenxinxin/p/4662364.html注入小结平常用的最多的dll注入技术就是远程线程，刚刚逛看雪，看到有人写的面试的时候被问到的问题，其中就有dll注入的方法，我突然想到我开始面试的时候也被问了dll注入的方法，当时也是就只知道一个远程线程，答的也不好，然后就想把一些注入技术写个总结。接下来讲的注入技术，有

使用 C# 进行 Outlook 2003 编程摘要： 本文介绍了 Microsoft Outlook 2003 对象模型介，并探讨了如何使用 C# 编程语言生成 Outlook 识别的应用程序和 Outlook 外接程序。（35 页打印页）注 本文假设您已经熟悉 C# 编程语言和 .NET 平台。Outlook 2003 的开发知识不是必需或期望的。适用于：Mic

一;delphi 快速导出exceluses ComObj,clipbrd;function ToExcel(sfilename:string; ADOQuery:TADOQuery):boolean;const      xlNormal=-4143;var    y     :  integer;    tsList :  TStringList;    s

Microsoft Outlook是可编程桌面信息管理程序。由于Microsoft Outlook本身不包含Visual Basic for Applications，但包括完整的类型库(type library)和Visual Basic Scripting Edition (VBScript)，因此，Outlook对象编程可以采用两种方法：即VBScript脚本编程方法和Automation自

目录(?)[-]TLS技术简介1 TLS回调函数2 TLS的数据结构具体实现及原理1 VS2015 X64 release下的demo2 回调函数的具体实现21 使用IsDebuggerPresent检测调试器22 使调DebugPort检测调试器实际测试1 测试直接执行2 测试用调试器加载总 结1 TLS技术简介

[-]动态链接库的使用有两种方式一种是显式调用一种是隐式调用DLL的编写1编写dll时为什么有 extern C2_declspecdllexport和_declspecdllimport的作用3__stdcall带来的影响4def文件的用途5DllMain函数动态装入dll重命名def的必要性隐式调用时头文件要注意的地方所以到底要不要使用__stdcall 呢导出函数别名怎么写用

EDIT控件多行显示:Multiline=TrueAuto HScroll=False

在对话框上添加一个Picture Control，然后把Accept Files属性修改成True。如果是想托图片的话需要把Type改成Bitmap。在头文件里加入：afx_msg void OnDropFiles(HDROP hDropInfo);在cpp文件里加入：ON_WM_DROPFILES()在OnInitDialog（）的最后加入：DragAcceptFiles(TRUE);在

没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来,一想到长期潜水,看帖不回就羞愧的不要不要的;//通过进程PID来获取目标模块路径;NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {    t

随着64位操作系统的普及，都开始大力进军x64，X64下的调试机制也发生了改变，与x86相比，添加了许多自己的新特性，之前学习了Windows x64的调试机制，这里本着“拿来主义”的原则与大家分享。本文属于译文，英文原文链接：http://www.codemachine.com/article_x64deepdive.html翻译原文地址：深入Windows X64 调试

(适用VS2005/VS2008)在当前工程点击右键选择properties，选择 All ConfigurationsC++>General->Debug Information Format->Program Database (/Zi)C++>Optimization->Optimization->Disabled (/Od)Linker->Debugging->Genera

如果是在debug下：1.检查工程配置是否设置正确。C++>General->Debug Information Format->Program Database (/Zi)C++>Optimization->Optimization->Disabled (/Od)Linker->Debugging->Generate Debug Info->Yes (/DEBUG)Lin

FS寄存器指向当前活动线程的TEB结构（线程结构）偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针

因为开发需要，要装一台设备的驱动1.但是在WIN7下没有经过数字签名的认证，因为每次在启动系统的时候必须按F8键进入“高级启动选项”，再选择“禁用强制驱动程序签名”，觉得这样非常麻烦，请问如果在WIN7下，是否可以通过修改注册表或者组策略来达到直接加载“禁用强制驱动程序签名”方式启动系统。2.用管理员权限打开CMD命令行输入以下字符串然后回车，重新启动就OK了，

编写shellcode很重要的一步就是搜索kernel32的基址,毕竟我们要获取API的地址x86下总所周知的fs寄存器搜索kernel32基址的办法,在x64下已经失效了.x64下fs的角色已经换成了gs.暂时发现存储的一些感兴趣的东西,如果有其他的,希望能告知我.gs:[0x30]                 TEBgs:[0x40]      

Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意中看到一篇文章，关于获取进程完整路径的。贴过来，最后有一点小调整。原文地址：http://www.osronline.com/article.cfm?id=472 Over the years developers h

不注册直接使用COM组件的方法       1. 定义导出函数指针     [cpp] view plain copy//定义函数指针  typedef   HRESULT    (_stdcall *Func) (REFCLSID , REFIID , LPVOID*);  Func   g_DllGetClassO

该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候，ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息（例如CPU数目）、句柄信息、时间信息等54个系统信息。该函数的原型是

最近在写一些字符串函数的优化，用到x64汇编，我也是第一次接触，故跟大家分享一下。 x86：又名 x32 ，表示 Intel x86 架构，即 Intel 的32位 80386 汇编指令集。x64：表示 AMD64 和 Intel 的 EM64T ，而不包括 IA64 。至于三者间的区别，可自行搜索。 x64 跟 x86 相比寄存器的变化，如图：

转自：http://www.cnblogs.com/del/archive/2010/04/16/1713886.htmlhttp://pan.baidu.com/s/1gVTSi跳转指令分三类:一、无条件跳转:JMP ;无条件跳转二、根据CX、ECX寄存器的值跳转:JCXZ ;CX 为 0 则跳转JECXZ;ECX 为 0 则跳转

新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码，并且用一种新的技术在远程进程中执行它，这种技术完全工作在用户模式下，并且不需要特殊的条件比如像管理员权限或者之类的要求[cpp] view plain copy#define _WIN32_WINNT 0x0400  #include     

目录(?)[-]1涉及API2使用1，涉及APIGetVersionEx函数原型：[cpp] view plaincopyBOOL GetVersionEx(POSVERSIONINFO pVersionInformation);  结构OSVERSIONINFOEX定义如下：

目录(?)[-]1涉及API2使用1，涉及APIGetNativeSystemInfo 原型：[cpp] view plain copy void WINAPI GetNativeSystemInfo(    _Out_  LPSYSTEM_INFO lpSystemInfo  );  

*本文原创作者：nickchang，本文属FreeBuf原创奖励计划，未经许可禁止转载背景二十多年来，操作系统的发展突飞猛进，windows也走过了各种版本。微软每次都在新版本中加入很多的改进，比如完善某些API,引入新的安全机制(UAC,ASLR,…)，调整系统目录结构(Application Data目录 从win98的%windir%\Application Data

Shim是微软系统中一个小型函数库，用于透明地拦截API调用，修改传递的参数、自身处理操作、或把操作重定向到其他地方。Shim主要用于解决遗留应用程序在新版Windows系统上的兼容性问题，但Shim也可用于其他方面。例如上周微软紧急推出针对“微软Office Powerpoint 0day漏洞（CVE-2014-6352）”的Fix It，其中就采用了Shim技术，用于修复存在安全缺陷的函数

dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧，首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA

原文：http://www.2cto.com/kf/200905/38540.html今天的问题是：有没有可能让一个 DLL 自己卸载自己？这个问题可以分成两个部分：卸载一个 DLL。卸载 DLL 的代码应该是放在 DLL 之中的。当然，如果不考虑后果的话，这个代码并不难写，如下：C++代码#include      HMODUL

0:005> kbn # ChildEBP RetAddr  Args to Child              00 02bec620 69de9284 71940ffc 000000fa 69e2940c rsswl!CIeEventSinkSimple::Invoke+0x30 [d:\projects\autoinstallbho\autoinstallbho\bho\ieeve

http://www.feiesoft.com/windows/cmd/findstr.htmDOS命令大全：Findstr命令详解使用常规表达式搜索文件中的文本模式。MS-DOS命令语法findstr [/b] [/e] [/l] [/r] [/s] [/i] [/x] [/v] [/n] [/m] [/o] [/p] [/offline] [/g:file]

#include #include #include #include BOOL PreprocessDatFile(WCHAR* wzFileName, WCHAR* wzFileHash){USES_CONVERSION;BOOL bRet = FALSE;HCRYPTPROV hCryptProv = 0;HCRYPTHASH hHash = 0;

看到那么多苦逼的跨站师在问Cookie利用工具，不忍心，还是把自己写的Chrome扩展开源出来吧，功能极简，仿造《我的渗透利器》里提到的Original Cookie Injector for Greasemonkey。效果在Chrome下按alt+c快捷键打开如下图：然后把你盗来的Cookies，直接贴进文本框里，上面的域名输入框会自动取你当前所在的页面的域名

先下载源码：这里我下载的是1.8.2，因为这个是目前的最稳定版本，（虽然已经有1.9及2.0了）http://opensips.org/pub/opensips/1.8.2/src/opensips-1.8.2_src.tar.gz编译前需要安装如下软件：apt-get install perl libdbi-perl libdbd-mysql-perl libdb

150 printf("success: device: %s
", devStr);151 }152 else153 {154 printf("error: %s
", errBuf);155 exit(1);156 }157 158 /* open a device, wait until a packet arrives *

标 题: 【原创】16位汇编写的五子棋作 者: 再战江湖时 间: 2016-07-30,09:30:31链 接: http://bbs.pediy.com/showthread.php?t=211915data segment SG DB 'http://bbs.bccn.net/' SG3 DB 'Do you want to play again?(Ye

标 题: 【原创】反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40:53链 接: http://bbs.pediy.com/showthread.php?t=70470反调试技巧总结-原理和实现-------------------------------------------

ADB是一个 客户端-服务器端 程序, 其中客户端是你用来操作的电脑, 服务器端是android设备.　　先说安装方法, 电脑上需要安装客户端. 客户端包含在sdk里. 设备上不需要安装, 只需要在手机上打开选项settings-applications-development-USBdebugging.　　对于Mac和Linux用户, 下载好的sdk解压后, 可以放~或者任意目录. 然后

因为项目需要，有时候直接采用bat文件编译整个项目，有很好的工具可用，就是devenv.http://msdn.microsoft.com/en-us/library/a4sf02ac.aspx根据msdn说明和不计其数的帖子，可以很容易写出自己的批处理命令文件。///设置要调用的devenv路径set _devenv="%VS110COMNTOOLS%..\..\Comm

在内核中，通过进程ID，得到进程名称，有多种方法。我使用了两种方法，第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构，然后char *ProcessName = (char*)EProcess + 0x174;第二种方法是得到PEPROCESS结构之后，使用PsGetProcessIma

win10系统中启动Edge浏览器带命令行参数:start microsoft-edge:http://www.baidu.com#include #include int main(){ SHELLEXECUTEINFO sf = { 0 }; sf.cbSize = sizeof(SHELLEXECUTEINFO); sf.lpFile = "mi

http://blog.csdn.net/xxxluozhen/article/details/5605818[+]一、什么是远程过程调用  什么是远程过程调用 RPC(Remote Procedure Call)? 你可能对这个概念有点陌生, 而你可能非常熟悉 NFS, 是的, NFS 就是基于 RPC 的. 为了理解远程过程调用，我们先来看一下过程调

标 题: 【原创】跟踪vdsldr.exe启动过程作 者: boywhp时 间: 2013-05-25,21:43:48链 接: http://bbs.pediy.com/showthread.php?t=172274调试日记比较乱，各位直接看我画的最终图吧！vdsldr.exe 启动过程调试跟踪【懒得整理了，抱歉】：命中堆栈如下：00 f821ed38

http://www.hsc.fr/ressources/articles/win_net_srv/msrpc_iactivationkernel.html4.10.3. DCOM Server Process LauncherTable 4.32. IActivationKernel operationsInterfaceOperati

dwExpPid表示Explorer.exe的进程ID号// 打开进程hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwExpPid);if(NULL == hProcess)break;//获取进程的TokenOpenProcessToken(hProcess, TOKEN_QUERY |

// 编译命令: cl /MD main.cpp /link /subsystem:console /entry:main user32.lib#include #include #include int main(){//__debugbreak();printf("Hello CL World!
");MessageBoxW(NULL, L"CL编

InitializeListHeadInsertHeadListRemoveTailListInitializeListHeadKeInitializeSpinLockExInterlockedInsertHeadListExInterlockedRemoveHeadListKeInitializeSpinLockKeAcquireSpinLoc

1.shellcode原理Shellcode实际是一段代码（也可以是填充数据），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心，提到它自然就会和漏洞联想在一起，毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer

大家知道通过IShellLink接口可以得到快捷方式的各种属性。具体怎么做，网上有很多文章，这里就不介绍了。现在主要是分析一下快捷方式文件的格式，并且自己写一个解析程序。为了方便大家理解，解说完每个段后附上一个快捷方式对应部分的事例数据并附内容解说。这里以Windows Media Player在桌面上的快捷方式为例。一、文件的整体结构二、文件头文件头结构，参照下面

HOOK Object XXProcedure 保护进程lkd> !process PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c    DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.    Image:

写的Object Hook原始地址查找通用性似乎还可以2009-02-15 11:46如题。有关于SecurityProcedure：部分ObjectType在创建的时候没有提供SecurityProcedure，所以无法得到，但是ObCreateObjectType发现SecurityProcedure被提供为NULL的时候会自行设置为SeDefaultO

内核无HOOK文件防删除，可以过冰刃，xuetr，easydelete 本来是打算写暴力删除文件的程序的，结果意外发现，只需要在内核发送irp打开一个文件，之后不关闭Object，就拒绝其他程序访问了，easydelete这个工具还是比较强的，不过也不能删除，关键是不挂钩任何函数，不修该系统内核，看属性的时候只能看到一个常规，其它的什么都看不到，当然了360（7.0

;ml /coff demo.asm /link /subsystem:windows /entry:main user32.lib kernel32.lib.486.model flat,stdcalloption casemap:none; 函数原型声明MessageBoxA PROTO :dword,:dword,:dword,:dwordRegist

;编译方法: ml demo.asm /link /subsystem:windows /entry:main user32.lib.386.model flat,stdcalloption casemap:none;extern MessageBoxA:procMessageBoxA PROTO STDCALL :DWORD,:DWORD,:DWORD,:

1、定义纯汇编的祼函数： void  __declspec(naked) __stdcall NakeFunction(){__asm {nopret}} 2、编译器中断指令用于设置INT 3中断__debugbreak();KdBreakPoint(); 3、内核下修改内存读写属性VOID WPOFF(){  U...

示例代码2.asm;语法：ML64extrn MessageBoxA: proc.datatext     db 'Hello x64!', 0caption  db 'My First x64 Application', 0.codeMain procsub rsp,28hxor r9d,r9dlea r8, captionlea rdx, textxor rcx,r

标 题: 【原创】PC病毒分析师所需技能和面试题作 者: FIGHTING安时 间: 2015-03-26,12:47:33链 接: http://bbs.pediy.com/showthread.php?t=199036今天整理硬盘突然看到几年前做PC病毒分析师时整理的自己一些面试题和一些网上收集的面试题，还有一些可能有用的东西。放上来希望能给对病毒分析感兴趣和或者希望从事这

如何在Visual Studio项目中正确添加汇编代码发表于2013 年 8 月 26 日引用注明>> 【作者：张佩】【原文：www.yiiyee.cn/blog】1.      问题描述在以往的编程经历中，本人最常使用的汇编代码是__asm {int 3}。它可以在我的代码中插入一个软件断点。如果没有一个连接到当前程序的调试器，则程序将停止在这行语句处无法

1.PE结构常用的结构体[plain] view plain copy0:001> dt ntdll!*IMAGE*            ntdll!_IMAGE_NT_HEADERS            ntdll!_IMAGE_FILE_HEADER            ntdll!_IMAGE_OPTIONAL_HEADE

标 题: 【原创】KeUserModeCallback用法详解作 者: achillis时 间: 2010-01-10,19:29:43链 接: http://bbs.pediy.com/showthread.php?t=104918ring0调用ring3早已不是什么新鲜事，除了APC，我们知道还有KeUserModeCallback.其原型如下：代码:NTS

版权声明请尊重原创作品。转载请保持文章完整性，并以超链接形式注明原始作者“tingsking18”和主站点地址，方便其他朋友提问和指正。  在Internet Explorer编程中，获取WebBrowser指针通常是一件很重要的事情，因为有了WebBrowser指针，我们就有了对IE完整的控制权。我们就可以对IE浏览器为所欲为了，想干什么都可以。比方说获取或者设置DOM控

版权声明请尊重原创作品。转载请保持文章完整性，并以超链接形式注明原始作者“tingsking18”和主站点地址，方便其他朋友提问和指正。 在Internet Explorer编程中，获取WebBrowser指针通常是一件很重要的事情，因为有了WebBrowser指针，我们就有了对IE完整的控制权。我们就可以对IE浏览器为所欲为了，想干什么都可以。比方说获取或者设置DOM控件

DLL注入技术之输入法注入    输入法注入原理是利用Windows系统中在切换输入法需要输入字符时，系统就会把这个输入法需要的ime文件装载到当前进程中，而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件，因此我们可以利用这个特性，在Ime文件中使用LoadLibrary()函数待注入的DLL文件。1．编写Ime文件    输入法