多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
私信 关注
cosmoslife
码龄13年

多媒体编程、网络编程、系统编程、网络安全编程

  • 2,106,952
    被访问量
  • 174
    原创文章
  • 768
    作者排名
  • 511
    粉丝数量
  • 于 2008-03-11 加入CSDN
获得成就
  • 获得165次点赞
  • 内容获得82次评论
  • 获得376次收藏
荣誉勋章
兴趣领域
  • #安全
    #安全架构#web安全#系统安全
TA的专栏
  • 学习笔记
    79篇
  • FFMpeg学习
    67篇
  • live555学习
    42篇
  • DirectShow编程
    22篇
  • 视频编解码
    66篇
  • Windows编程
    441篇
  • MFC编程
    21篇
  • C++知识点
    51篇
  • Linux系统编程
    20篇
  • 网络安全
    38篇
  • 驱动开发学习
    467篇
  • Visual C++信息安全编程
    18篇
  • 网络编程
    57篇
  • JRTPLIB学习
    8篇
  • DirectSound
    6篇
  • 大内高手
    9篇
  • C语言知识点
    14篇
  • 嵌入式开发技术
    13篇
  • 汇编编程学习
    82篇
  • 结构化异常处理(SEH)机制探索
    13篇
  • HOOK技术
    49篇
  • 其它
    28篇
  • C++特性注意点常考点
    3篇
  • WMI
    11篇
  • 源码收集
    10篇
  • OPENSSL
    2篇
  • PE学习
    15篇
  • 反汇编与逆向分析
    4篇
  • 软件漏洞分析技术
  • 调试技术
    35篇
  • win32汇编
    7篇
  • 漫谈兼容内核
    25篇
  • PC解读
    14篇
  • COM编程
    4篇
  • 股经
    1篇
  • X64
    11篇
  • Win10系统
    1篇
  • bochs
    1篇
  • windbg命令收集
    19篇
  • Bug Check
    1篇
  • winpcap
    12篇
  • 文件过滤驱动
  • 网络驱动
  • 股票学习
  • IDA
    1篇
  • Ubuntu16.04
    1篇
  • PHP
    1篇
  • Apache
  • MySQL
  • 最近
  • 文章
  • 资源
  • 问答
  • 课程
  • 帖子
  • 收藏
  • 关注/订阅

基于ObRegisterCallbacks实现的线程和进程监控及其保护

要实现监控系统线程和进程,并实现对指定线程和进程的保护,在 32 位系统上可以使用 HOOK 技术,HOOK 相关的函数来实现。但是,到了 64 位平台上,就不能继续按常规的 HOOK 方法去实现了。好在 Windows 给我们提供了 ObRegisterCallbacks 内核函数来注册系统回调,可以用来注册系统线程回调,监控系统的线程创建、退出等情况,而且还能进行控制;也可以用来注册系统进程回调,可以监控系统的进程创建、退出等情况,而且也能进行控制。这使得我们实现保护指定线程、进程不被结束,提供了可
原创
58阅读
0评论
0点赞
发布博客于 2 月前

Win10禁用驱动程序强制签名方法

1.点击通知,找到并进入“所有设置”。2.在所有设置中找到并进入“更新和安全”3.找到恢复,点击“高级启动”下的“立即重启”,重启电脑。4.重启后选择“疑难解答”。5.选择“高级选项”6.选择“启动设置”。7.点击“重启”。8.按提示输入“7”禁用驱动程序强制签名。...
原创
223阅读
0评论
0点赞
发布博客于 10 月前

从恶意软件获得的新姿势——通过rundll32.exe执行js原理详细分析

今年7月份,国外研究机构发现了一个比较新型的恶意软件,这个恶意软件不会在系统上安装任何文件,而是藏身在windows的注册表中通过rundll32.exe执行JavaScript代码。听上去确实很有意思,通过rundll32.exe来执行js代码,那么它究竟是怎么实现的呢?我们一起来研究下。实现代码很简单 1 rundll32.exejavascript:...
转载
249阅读
0评论
0点赞
发布博客于 1 年前

Intel指令解析规则,反汇编引擎工作原理

一、Intel保护模式、实地址模式和虚拟8086模式指令格式(x86)                   图在Intel手册Volume2 2.1章节  1.1)Instruction Prefixes:指令前缀,可选项,每个前缀一个字节,可选0个前缀到4个不等;指令前缀分为四组,每组都允许设置指定的前缀代码。    Group 1:锁定和重复前缀。    Group 2:段...
原创
330阅读
0评论
0点赞
发布博客于 1 年前

Collecting User-Mode Dumps

Starting with Windows Server 2008 and Windows Vista with Service Pack 1 (SP1), Windows Error Reporting (WER) can be configured so that full user-mode dumps are collected and stored locally after a use...
转载
634阅读
0评论
1点赞
发布博客于 3 年前

CSDN客服如何联系,CSDN帐号异常解决方法

CSDN客服如何联系,CSDN帐号异常解决方法,有知道的CSDN友友吗?
原创
6688阅读
9评论
0点赞
发布博客于 3 年前

vs2008部署问题

转自:http://tangxingqt.blog.163.com/blog/static/2771087220098214755269/ 参考资料1、VS2005解决"应用程序配置不正确,程序无法启动"问题2、VS2005安装文件 "由于应用程序配置不正确,应用程序未能启动"3、Microsoft Visual C++ 2008发布程序的部署问题4、VC编写的程序不能在其他机器上运行的解决方案新...
转载
525阅读
0评论
0点赞
发布博客于 3 年前

获取进程全路径

BOOL GetProcPath( __in BOOL bCurrentProc, __in ULONG ulPid, __inout LPTSTR lpProcPath, __in ULONG ulProcPathBufLen ){ BOOL bRet = FALSE; HMODULE hModule = NULL; HANDLE hProc = NULL; DWO...
转载
667阅读
0评论
0点赞
发布博客于 3 年前

https://support.microsoft.com/en-us/help/94248/how-to-use-the-c-run-time

原文链接:https://support.microsoft.com/en-us/help/94248/how-to-use-the-c-run-timeHow To Use the C Run-TimeSummaryThis document contains the following sectio
转载
2087阅读
0评论
0点赞
发布博客于 3 年前

调试寄存器 原理与使用:DR0-DR7

调试寄存器 原理与使用:DR0-DR7下面介绍的知识性信息来自intel IA-32手册(可以在intel的开发手册或者官方网站查到),提示和补充来自学习调试器实现时的总结。希望能给你带去有用的信息。(DRx对应任意的一个调试寄存器。LENn对应任意一个长度。Ln对应任意一个局部置位)DR0-DR7可以直接被读写操作(MOV 指令之类的,DRx可以是源操作数也可以是
转载
665阅读
0评论
0点赞
发布博客于 3 年前

枚举BootDriverReinitialization

引用链接: http://blog.csdn.net/qq125096885/article/details/53161169#include #include typedef struct _REINIT_PACKET {LIST_ENTRY ListEntry;PDRIVER_OBJECT DriverObject;PDRIVER_REINITI
转载
391阅读
0评论
0点赞
发布博客于 3 年前

64位shellcode编程(不错) Windows x64 Shellcode

原文链接:http://mcdermottcybersecurity.com/articles/windows-x64-shellcodeWindows x64 ShellcodeJanuary 11, 2011ContentsIntroductionRIP-Relative AddressingAPI Lookup
转载
2942阅读
0评论
0点赞
发布博客于 4 年前

【摄影技巧】摄影的骨架——构图(只为方便查找)

原文链接:http://club.autohome.com.cn/bbs/thread-o-200099-60070613-1.html#pvareaid=2199101行程1 浅谈构图   >=====================================================【出发时间】2017-1【旅行周期】1-3天【人均费用】
转载
3178阅读
0评论
0点赞
发布博客于 4 年前

系统回调介绍

目的:     遍历系统中的回调类型:     与Xuetr遍历到的类型相同     如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。     附件中代码大量冗余,可以将相同的部分写成一个函数,一开始没注意,懒得改了。。。详细实现见代码环境:     WIN XP SP3   大量使用硬编码,本次仅在于实现我的虚拟机环境下的遍历,没有考虑寻找通用方
转载
3441阅读
0评论
0点赞
发布博客于 4 年前

阿里云服务器的 mysql root密码忘记了咋办

这几天在弄公司的 阿里云ECS服务器 结果找不到mysql数据库的密码了 , 我自己搞定之后整理如下先以root身份SSH连进ECS主机一、首先尝试了查找安装数据库时的默认密码,一般在account.log 账户文件里 位置大概是在  /root/类似sh-1.3.0-ubuntu/account.log   直接  cat  account.log 打
转载
3610阅读
0评论
0点赞
发布博客于 4 年前

资本侧和实体侧

+关注改革开放以来中国的经济发展实践,实际上带来了两个重要结果。其一是中国经济的迅速崛起,创造了奇迹;其二是中国经济的资本化,中国经济已成资本化的市场经济,市场已经为资本所控制,价格信号只能反映资本的需求,而掩盖和压抑实体经济本身的需求。第一个结果已经引发全球的瞩目,第二个结果却被忽视了。中国经济之所以出现了资本化,进入了资本化时代,原因在于中国出现了资本过剩,这些过剩的资本超越了
转载
3457阅读
0评论
1点赞
发布博客于 4 年前

html表单的几种提交方式总结

最普通最常用最一般的方法就是用submit type,另外,还有一种常用的方法是使用图片,接下来为大家详细介绍下其他的方式,感兴趣的你可以参考下足以轻松应付表单提交最普通最常用最一般的方法就是用submit type..看代码: 复制代码代码如下:   另外,还有一种常用的方法是使用图片: 复制代码代码如下:   
转载
4132阅读
0评论
0点赞
发布博客于 4 年前

Apache设置禁止访问网站目录

Apache默认在当前目录下没有index.html入口就会显示网站根目录,让网站目录文件都暴露在外面,是一件非常危险的事,例如:数据库密码泄露,隐藏页面暴露等严重安全问题!例如,访问米扑网站根目录: https://mimvp.com    会列出根目录 本文将详细介绍如何操作禁止显示apache网站根目录进入apache的配置文件 httpd.con
原创
4219阅读
0评论
0点赞
发布博客于 4 年前

树莓派GPIO控制--C语言篇

目录(?)[-]一 常用开源工程简介Python GPIOwiringPiBCM2835 C Library二 树莓派GPIO编号方式功能物理引脚BCMwiringpi三 WiringPi GPIO说明wiringPi安装 1使用GIT工具 2直接下载 3raspbian使用apt-get安装测试样例代码编译运行四 BCM2835 C Lib
转载
10293阅读
0评论
0点赞
发布博客于 4 年前

构建嵌入式Linux + web+sqlite +php5.0 平台

Web和数据库技术在嵌入式技术中得到越来越广泛的应用,本专题我们来研究如何构建一个嵌入式Linux +web +php+sqlite 平台。 一、 工作软件平台配置桌面Linux版本: Ubuntu10.04 – LTS交叉编译器版本: arm-linux-gcc 4.4.3 设置好系统移植编译相关的环境变量,后面编译时用的到,设置方法如下:
转载
4643阅读
0评论
0点赞
发布博客于 4 年前

ubuntu 16.04 启用root用户方法(亲测可行)

1、使用:sudo passwd root设置root的密码,如下图所示:2、使用su root来测试是否可以进入root用户,如果出现#说明已经设置root用户的密码成功,如下图所示:3、进入到/usr/share/lightdm/lightdm.conf.d/目录,使用gedit 50-unity-greeter.conf &命令打开50-unity-greeter.c
转载
5833阅读
0评论
2点赞
发布博客于 4 年前

在windows 7用WinDBG调试时显示KdPrint信息

在windows 7/vista/2008用WinDBG调试时显示KdPrint信息 收藏在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager新建一项Debug Print Filter,新建一个DWORD值,名称为DEFAULT,(注意:必须全部是大写)值
转载
5346阅读
1评论
1点赞
发布博客于 4 年前

VS调试技巧,命令窗口

Vs2008 可以ctrl+alt+m+(1/2/3/4)内存窗口,ctrl+alt+r  寄存器窗口,ctrl+alt+d 汇编窗口,,也可以调试--》窗口-->内存  进行选择视图----其它窗口----命令窗口先启动调试,然后输入Memory关于更多的命令:命令名        别名  
转载
4351阅读
0评论
1点赞
发布博客于 4 年前

Visual Studio原生开发的10个调试技巧

最近碰巧读了Ivan Shcherbakov写的一篇文章,《11个强大的Visual Studio调试小技巧》。这篇文章只介绍了一些有关Visual Studio的基本调试技巧,但是还有其他一些同样有用的技巧。我整理了一些Visual Studio(至少在VS 2008下)原生开发的调试技巧。(如果你是工作在托管代码下,调试器会有更多的特性,在CodeProject中有介绍它们的文章),下面是
转载
4004阅读
0评论
0点赞
发布博客于 4 年前

Visual Studio原生开发的20条调试技巧(下)

我的上篇文章《Vistual Studio原生开发的10个调试技巧》引发了很多人的兴趣,所以我决定跟大家分享更多的调试技巧。接下来你又能看到一些对于原生应用程序的很有帮助的调试技巧(接着上一篇文章来编号)。这些技巧需要应用在Vistual Studio 2005 或者更新的版本中(当然也有一些适用于旧版本)。如果你能阅读本文中推荐的一些相关文章,就可以知道每一个技巧的更多信息。11. 
转载
4178阅读
0评论
0点赞
发布博客于 4 年前

DebugView for Windows 7 不显示调试信息

使用DebugView打印内核调试信息是开发驱动的非常重要的手段,但DebugView在VISTA/WINDOWS 7下却无法获取内核的调试日志,GOOGLE搜了一下,问题是出在DbgPrint上面,修改方法是:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager,打开或者创建子项Debug Print Filter,然后新建一个DWO
转载
4992阅读
0评论
0点赞
发布博客于 4 年前

Intel VT入门

运行环境操作系统: windows XP CPU : intel i3-390M 状态: 单核运行驱动没有卸载部分,测试前请先保存好文档.在 boot.ini 文件中添加 /numproc=1,重启传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激!关于V
转载
5007阅读
0评论
0点赞
发布博客于 4 年前

Leanote 二进制版详细安装教程 Windows

https://github.com/leanote/leanote/wiki本教程适合 Windows 用户的二进制版安装。Windows 用户的源码版安装,参见这里。Mac, Linux 用户的二进制版安装,参见这里。Mac, Linux 用户的源码版安装,参见这里。安装步骤:下载 leanote 二进制版。安装 mongodb。导入初始数据。配
转载
5870阅读
1评论
0点赞
发布博客于 4 年前

GitHub上的链接备忘

关于IDA插件列表https://github.com/onethawt/idaplugins-list自动化分析WMhttps://github.com/anatolikalysch/VMAttack
原创
4368阅读
0评论
0点赞
发布博客于 5 年前

VBS脚本常用经典代码

VBS脚本常用经典代码1、VBS获取系统安装路径/*先定义这个变量是获取系统安装路径的,然后我们用“&strWinDir&”调用这个变量。*/setWshShell = WScript.CreateObject("WScript.Shell")strWinDir= WshShell.ExpandEnvironmentStrings("%WinDir%")2、VBS获取C:/Pr
转载
55606阅读
1评论
19点赞
发布博客于 5 年前

输入法的注册、安装和卸载

注册输入法输入法的安装和普通应用程序有一个大的区别是,除了复制文件到安装目录、做一些必要的设置外,还需要向Windows系统注册这个输入法。我们前期一篇博文 TSF(Text Service Framework)简介中谈到,Windows有两种输入法的框架,IMM32和CTF。下面分别说下两种情况的注册。IMM32框架每个输入法要将自己注册为一个Keyboard
转载
5273阅读
1评论
0点赞
发布博客于 5 年前

远程桌面不能复制粘贴解决办法

大家常常会遇到mstsc 远程桌面的时候,发现本地和远程之间不能够复制和粘贴文本内容,大家可能会很疑惑,我远程的时候明明在“本地资源”里面勾选了“剪贴板”,但为什么还不能用,原因就是因为“rdpclip.exe”这个进程没有正常工作。 解决办法:       在服务器上打开任务管理器(Ctrl+Alt+Del或者是Ctrl+Shift+Esc,也可以右键点击任务栏,选择
转载
6769阅读
0评论
0点赞
发布博客于 5 年前

svn 命令行下常用的几个命令

1、将文件checkout到本地目录    svn checkout path(path是服务器上的目录)    例如:svn checkout svn://192.168.1.1/pro/domain    简写:svn co 2、往版本库中添加新的文件    svn add file   例如:svn add test.php(添加test.
转载
2360阅读
0评论
0点赞
发布博客于 5 年前

用VC开发股票分析软件(一)

国外有一家学院的研究机构发布了所有证券分析软件公式算法函数。  如果要用的话,要遵守GPL,采用的TA-LIB的名字,要署名。  地址:http://ta-lib.org/hdr_doc.htm。
转载
4629阅读
0评论
1点赞
发布博客于 5 年前

C,C++中命名规范

C++以及MFC的命名规则基本上是符合匈牙利命名法的,匈牙利命名法是一种编程时的命名规范。基本原则是:变量名=属性+类型+对象描述,其中每一对象 的名称都要求有明确含义,可以取对象名字全称或名字的一部分。命名要基于容易记忆容易理解的原则。保证名字的连贯性是非常重要的。        举例来说,表单的名称为form,那么在匈牙利命名法中可以简写为frm,则当表单变量名称为 Switchboa
转载
1732阅读
0评论
0点赞
发布博客于 5 年前

解决T2A W2A A2W的报错error C2065: “_lpw”: 未声明的标识符

当直接使用T2A W2A A2W,在编译时会出现报错:error C2065: “_lpw”: 未声明的标识符 等解决方法: 增加头文件  #include并在使用T2A等前加上语句 USES_CONVERSION;
转载
3214阅读
0评论
1点赞
发布博客于 5 年前

5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制

http://blog.csdn.net/hgy413/article/details/6956847目录(?)[-]文本搜索二进制搜索替换16进制1.文本搜索IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text(热键:ALT+T)命令启动文本搜索选择Find all occurences(查找所有结果),
转载
1235阅读
0评论
0点赞
发布博客于 5 年前

bat中生成随机数

批处理、Bat 产生指定范围随机数字的代码,需要的朋友可以参考下下最近研究批处理命令,偶然发现,居然还有随机数,在此之前,是未敢想过。 说到随机数,不同的软件都有随机函数的功能,使用方法大体类似,但却有着区别。 本文,给您介绍一下MS-DOS中的批处理命令random的用法及实例。 一、random的取值范围   要使用random,必须将其当作一个变量来使用,这样
转载
6743阅读
1评论
1点赞
发布博客于 5 年前

GitHub上开源码注入技术代码链接

https://github.com/BreakingMalwareResearch/atom-bombinghttps://github.com/BreakingMalware/PowerLoaderEx
原创
1582阅读
0评论
0点赞
发布博客于 5 年前

dll注入技术

http://www.cnblogs.com/lanrenxinxin/p/4662364.html注入小结平常用的最多的dll注入技术就是远程线程,刚刚逛看雪,看到有人写的面试的时候被问到的问题,其中就有dll注入的方法,我突然想到我开始面试的时候也被问了dll注入的方法,当时也是就只知道一个远程线程,答的也不好,然后就想把一些注入技术写个总结。接下来讲的注入技术,有
转载
1164阅读
0评论
0点赞
发布博客于 5 年前

使用 C# 进行 Outlook 2003 编程

使用 C# 进行 Outlook 2003 编程摘要: 本文介绍了 Microsoft Outlook 2003 对象模型介,并探讨了如何使用 C# 编程语言生成 Outlook 识别的应用程序和 Outlook 外接程序。(35 页打印页)注 本文假设您已经熟悉 C# 编程语言和 .NET 平台。Outlook 2003 的开发知识不是必需或期望的。适用于:Mic
转载
830阅读
0评论
0点赞
发布博客于 5 年前

delphi导出数据至Excel的七种方法

一;delphi 快速导出exceluses ComObj,clipbrd;function ToExcel(sfilename:string; ADOQuery:TADOQuery):boolean;const      xlNormal=-4143;var    y     :  integer;    tsList :  TStringList;    s
转载
502阅读
0评论
0点赞
发布博客于 5 年前

OutLook 编程

Microsoft Outlook是可编程桌面信息管理程序。由于Microsoft Outlook本身不包含Visual Basic for Applications,但包括完整的类型库(type library)和Visual Basic Scripting Edition (VBScript),因此,Outlook对象编程可以采用两种方法:即VBScript脚本编程方法和Automation自
转载
1126阅读
0评论
0点赞
发布博客于 5 年前

WIN10 X64下通过TLS实现反调试

目录(?)[-]TLS技术简介1 TLS回调函数2 TLS的数据结构具体实现及原理1 VS2015 X64 release下的demo2 回调函数的具体实现21 使用IsDebuggerPresent检测调试器22 使调DebugPort检测调试器实际测试1 测试直接执行2 测试用调试器加载总 结1 TLS技术简介
转载
660阅读
0评论
0点赞
发布博客于 5 年前

DLL 的编写,导出函数

[-]动态链接库的使用有两种方式一种是显式调用一种是隐式调用DLL的编写1编写dll时为什么有 extern C2_declspecdllexport和_declspecdllimport的作用3__stdcall带来的影响4def文件的用途5DllMain函数动态装入dll重命名def的必要性隐式调用时头文件要注意的地方所以到底要不要使用__stdcall 呢导出函数别名怎么写用
转载
435阅读
0评论
0点赞
发布博客于 5 年前

MFC控件属性修改笔记

EDIT控件多行显示:Multiline=TrueAuto HScroll=False
原创
1910阅读
0评论
0点赞
发布博客于 5 年前

如何在对话框中实现文件拖放功能

在对话框上添加一个Picture Control,然后把Accept Files属性修改成True。如果是想托图片的话需要把Type改成Bitmap。在头文件里加入:afx_msg void OnDropFiles(HDROP hDropInfo);在cpp文件里加入:ON_WM_DROPFILES()在OnInitDialog()的最后加入:DragAcceptFiles(TRUE);在
转载
393阅读
0评论
0点赞
发布博客于 5 年前

内核遍历r3进程模块,获取信息(32,64,WoW64)

没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来,一想到长期潜水,看帖不回就羞愧的不要不要的;//通过进程PID来获取目标模块路径;NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {    t
转载
4029阅读
1评论
0点赞
发布博客于 5 年前

深入理解Windows X64调试

随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享。本文属于译文,英文原文链接:http://www.codemachine.com/article_x64deepdive.html翻译原文地址:深入Windows X64 调试
转载
1306阅读
0评论
0点赞
发布博客于 5 年前

怎么在Release下调试代码

(适用VS2005/VS2008)在当前工程点击右键选择properties,选择 All ConfigurationsC++>General->Debug Information Format->Program Database (/Zi)C++>Optimization->Optimization->Disabled (/Od)Linker->Debugging->Genera
转载
429阅读
0评论
0点赞
发布博客于 5 年前

vs2008【断点无效】解决方法

如果是在debug下:1.检查工程配置是否设置正确。C++>General->Debug Information Format->Program Database (/Zi)C++>Optimization->Optimization->Disabled (/Od)Linker->Debugging->Generate Debug Info->Yes (/DEBUG)Lin
转载
326阅读
0评论
0点赞
发布博客于 5 年前

利用FS寄存器获取KERNEL32.DLL基址算法的证明

FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
转载
492阅读
0评论
0点赞
发布博客于 5 年前

如何让WINDOWS7 64位直接加载“禁用强制驱动程序签名”方式启动

因为开发需要,要装一台设备的驱动1.但是在WIN7下没有经过数字签名的认证,因为每次在启动系统的时候必须按F8键进入“高级启动选项”,再选择“禁用强制驱动程序签名”,觉得这样非常麻烦,请问如果在WIN7下,是否可以通过修改注册表或者组策略来达到直接加载“禁用强制驱动程序签名”方式启动系统。2.用管理员权限打开CMD命令行输入以下字符串然后回车,重新启动就OK了,
转载
15849阅读
0评论
0点赞
发布博客于 5 年前

x64 gs寄存器的一点资料

编写shellcode很重要的一步就是搜索kernel32的基址,毕竟我们要获取API的地址x86下总所周知的fs寄存器搜索kernel32基址的办法,在x64下已经失效了.x64下fs的角色已经换成了gs.暂时发现存储的一些感兴趣的东西,如果有其他的,希望能告知我.gs:[0x30]                 TEBgs:[0x40]      
转载
4520阅读
0评论
0点赞
发布博客于 5 年前

驱动中获取进程完整路径名

Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意中看到一篇文章,关于获取进程完整路径的。贴过来,最后有一点小调整。原文地址:http://www.osronline.com/article.cfm?id=472 Over the years developers h
转载
1392阅读
0评论
0点赞
发布博客于 5 年前

不注册直接使用COM组件的方法

不注册直接使用COM组件的方法       1. 定义导出函数指针     [cpp] view plain copy//定义函数指针  typedef   HRESULT    (_stdcall *Func) (REFCLSID , REFIID , LPVOID*);  Func   g_DllGetClassO
转载
2117阅读
1评论
0点赞
发布博客于 5 年前

函数ZwQuerySystemInformation小结

该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。该函数的原型是
转载
885阅读
0评论
0点赞
发布博客于 5 年前

Windows x64汇编函数调用约定

最近在写一些字符串函数的优化,用到x64汇编,我也是第一次接触,故跟大家分享一下。 x86:又名 x32 ,表示 Intel x86 架构,即 Intel 的32位 80386 汇编指令集。x64:表示 AMD64 和 Intel 的 EM64T ,而不包括 IA64 。至于三者间的区别,可自行搜索。 x64 跟 x86 相比寄存器的变化,如图:
转载
3053阅读
1评论
0点赞
发布博客于 5 年前

学 Win32 汇编[28] - 跳转指令: JMP、JECXZ、JA、JB、JG、JL、JE、JZ、JS、JC、JO、JP 等

转自:http://www.cnblogs.com/del/archive/2010/04/16/1713886.htmlhttp://pan.baidu.com/s/1gVTSi跳转指令分三类:一、无条件跳转:JMP ;无条件跳转二、根据CX、ECX寄存器的值跳转:JCXZ ;CX 为 0 则跳转JECXZ;ECX 为 0 则跳转
转载
1188阅读
0评论
0点赞
发布博客于 5 年前

ring3-NtMapViewOfSection注入

新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求[cpp] view plain copy#define _WIN32_WINNT 0x0400  #include     
转载
1097阅读
0评论
0点赞
发布博客于 5 年前

【系统信息获取】1,获取系统版本

目录(?)[-]1涉及API2使用1,涉及APIGetVersionEx函数原型:[cpp] view plaincopyBOOL GetVersionEx(POSVERSIONINFO pVersionInformation);  结构OSVERSIONINFOEX定义如下:
转载
368阅读
0评论
0点赞
发布博客于 5 年前

【系统信息获取】2,获取操作系统位数

目录(?)[-]1涉及API2使用1,涉及APIGetNativeSystemInfo 原型:[cpp] view plain copy void WINAPI GetNativeSystemInfo(    _Out_  LPSYSTEM_INFO lpSystemInfo  );  
转载
564阅读
0评论
0点赞
发布博客于 5 年前

详解Windows Shim的攻防利用

*本文原创作者:nickchang,本文属FreeBuf原创奖励计划,未经许可禁止转载背景二十多年来,操作系统的发展突飞猛进,windows也走过了各种版本。微软每次都在新版本中加入很多的改进,比如完善某些API,引入新的安全机制(UAC,ASLR,…),调整系统目录结构(Application Data目录 从win98的%windir%\Application Data
转载
1639阅读
0评论
0点赞
发布博客于 5 年前

走近微软安全技术Shim

Shim是微软系统中一个小型函数库,用于透明地拦截API调用,修改传递的参数、自身处理操作、或把操作重定向到其他地方。Shim主要用于解决遗留应用程序在新版Windows系统上的兼容性问题,但Shim也可用于其他方面。例如上周微软紧急推出针对“微软Office Powerpoint 0day漏洞(CVE-2014-6352)”的Fix It,其中就采用了Shim技术,用于修复存在安全缺陷的函数
转载
370阅读
0评论
0点赞
发布博客于 5 年前

PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因

dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA
转载
2114阅读
0评论
0点赞
发布博客于 5 年前

让DLL卸载自身

原文:http://www.2cto.com/kf/200905/38540.html今天的问题是:有没有可能让一个 DLL 自己卸载自己?这个问题可以分成两个部分:卸载一个 DLL。卸载 DLL 的代码应该是放在 DLL 之中的。当然,如果不考虑后果的话,这个代码并不难写,如下:C++代码#include      HMODUL
转载
864阅读
0评论
0点赞
发布博客于 5 年前

BHO调试栈回调

0:005> kbn # ChildEBP RetAddr  Args to Child              00 02bec620 69de9284 71940ffc 000000fa 69e2940c rsswl!CIeEventSinkSimple::Invoke+0x30 [d:\projects\autoinstallbho\autoinstallbho\bho\ieeve
原创
621阅读
0评论
0点赞
发布博客于 5 年前

DOS命令大全:Findstr命令详解

http://www.feiesoft.com/windows/cmd/findstr.htmDOS命令大全:Findstr命令详解使用常规表达式搜索文件中的文本模式。MS-DOS命令语法findstr [/b] [/e] [/l] [/r] [/s] [/i] [/x] [/v] [/n] [/m] [/o] [/p] [/offline] [/g:file]
转载
2111阅读
0评论
0点赞
发布博客于 5 年前

获取文件HASH算法

#include #include #include #include BOOL PreprocessDatFile(WCHAR* wzFileName, WCHAR* wzFileHash){USES_CONVERSION;BOOL bRet = FALSE;HCRYPTPROV hCryptProv = 0;HCRYPTHASH hHash = 0;
原创
742阅读
0评论
0点赞
发布博客于 5 年前

Cookie利用神器:CookieHacker

看到那么多苦逼的跨站师在问Cookie利用工具,不忍心,还是把自己写的Chrome扩展开源出来吧,功能极简,仿造《我的渗透利器》里提到的Original Cookie Injector for Greasemonkey。效果在Chrome下按alt+c快捷键打开如下图:然后把你盗来的Cookies,直接贴进文本框里,上面的域名输入框会自动取你当前所在的页面的域名
转载
3122阅读
0评论
0点赞
发布博客于 5 年前

搭建自己的SIP服务器:开源sip服务器opensips的搭建及终端TwInkle的使用

先下载源码:这里我下载的是1.8.2,因为这个是目前的最稳定版本,(虽然已经有1.9及2.0了)http://opensips.org/pub/opensips/1.8.2/src/opensips-1.8.2_src.tar.gz编译前需要安装如下软件:apt-get install perl libdbi-perl libdbd-mysql-perl libdb
转载
3889阅读
1评论
0点赞
发布博客于 5 年前

基于ARP的局域网IP劫持——C语言实现

150 printf("success: device: %s
", devStr);151 }152 else153 {154 printf("error: %s
", errBuf);155 exit(1);156 }157 158 /* open a device, wait until a packet arrives *
转载
2492阅读
0评论
0点赞
发布博客于 5 年前

16位汇编写的五子

标 题: 【原创】16位汇编写的五子棋作 者: 再战江湖时 间: 2016-07-30,09:30:31链 接: http://bbs.pediy.com/showthread.php?t=211915data segment SG DB 'http://bbs.bccn.net/' SG3 DB 'Do you want to play again?(Ye
转载
404阅读
0评论
0点赞
发布博客于 5 年前

反调试技巧总结-原理和实现

标 题: 【原创】反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40:53链 接: http://bbs.pediy.com/showthread.php?t=70470反调试技巧总结-原理和实现-------------------------------------------
转载
632阅读
0评论
0点赞
发布博客于 5 年前

android ADB命令的使用

ADB是一个 客户端-服务器端 程序, 其中客户端是你用来操作的电脑, 服务器端是android设备.  先说安装方法, 电脑上需要安装客户端. 客户端包含在sdk里. 设备上不需要安装, 只需要在手机上打开选项settings-applications-development-USBdebugging.  对于Mac和Linux用户, 下载好的sdk解压后, 可以放~或者任意目录. 然后
转载
237阅读
0评论
0点赞
发布博客于 5 年前

Widnows bat 编译VS项目

因为项目需要,有时候直接采用bat文件编译整个项目,有很好的工具可用,就是devenv.http://msdn.microsoft.com/en-us/library/a4sf02ac.aspx根据msdn说明和不计其数的帖子,可以很容易写出自己的批处理命令文件。///设置要调用的devenv路径set _devenv="%VS110COMNTOOLS%..\..\Comm
转载
701阅读
0评论
0点赞
发布博客于 5 年前

通过进程ID得到进程名

在内核中,通过进程ID,得到进程名称,有多种方法。我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char *ProcessName = (char*)EProcess + 0x174;第二种方法是得到PEPROCESS结构之后,使用PsGetProcessIma
转载
1112阅读
0评论
0点赞
发布博客于 5 年前

win10系统中启动Edge浏览器带命令行参数

win10系统中启动Edge浏览器带命令行参数:start microsoft-edge:http://www.baidu.com#include #include int main(){ SHELLEXECUTEINFO sf = { 0 }; sf.cbSize = sizeof(SHELLEXECUTEINFO); sf.lpFile = "mi
原创
7764阅读
1评论
4点赞
发布博客于 5 年前

Windows RPC编程详解

http://blog.csdn.net/xxxluozhen/article/details/5605818[+]一、什么是远程过程调用  什么是远程过程调用 RPC(Remote Procedure Call)? 你可能对这个概念有点陌生, 而你可能非常熟悉 NFS, 是的, NFS 就是基于 RPC 的. 为了理解远程过程调用,我们先来看一下过程调
转载
1070阅读
0评论
0点赞
发布博客于 5 年前

【原创】跟踪vdsldr.exe启动过程

标 题: 【原创】跟踪vdsldr.exe启动过程作 者: boywhp时 间: 2013-05-25,21:43:48链 接: http://bbs.pediy.com/showthread.php?t=172274调试日记比较乱,各位直接看我画的最终图吧!vdsldr.exe 启动过程调试跟踪【懒得整理了,抱歉】:命中堆栈如下:00 f821ed38
转载
1367阅读
0评论
0点赞
发布博客于 5 年前

4.10.3. DCOM Server Process Launcher

http://www.hsc.fr/ressources/articles/win_net_srv/msrpc_iactivationkernel.html4.10.3. DCOM Server Process LauncherTable 4.32. IActivationKernel operationsInterfaceOperati
转载
680阅读
0评论
0点赞
发布博客于 5 年前

服务中打开当前登录用户注册表项方法

dwExpPid表示Explorer.exe的进程ID号// 打开进程hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwExpPid);if(NULL == hProcess)break;//获取进程的TokenOpenProcessToken(hProcess, TOKEN_QUERY |
原创
706阅读
0评论
0点赞
发布博客于 5 年前

CL编译CPP文件

// 编译命令: cl /MD main.cpp /link /subsystem:console /entry:main user32.lib#include #include #include int main(){//__debugbreak();printf("Hello CL World!
");MessageBoxW(NULL, L"CL编
原创
547阅读
0评论
0点赞
发布博客于 5 年前

驱动学习笔记

InitializeListHeadInsertHeadListRemoveTailListInitializeListHeadKeInitializeSpinLockExInterlockedInsertHeadListExInterlockedRemoveHeadListKeInitializeSpinLockKeAcquireSpinLoc
原创
367阅读
0评论
0点赞
发布博客于 5 年前

Shellcode的原理及编写

1.shellcode原理Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer
转载
911阅读
0评论
0点赞
发布博客于 5 年前

Windows快捷方式文件格式解析

大家知道通过IShellLink接口可以得到快捷方式的各种属性。具体怎么做,网上有很多文章,这里就不介绍了。现在主要是分析一下快捷方式文件的格式,并且自己写一个解析程序。为了方便大家理解,解说完每个段后附上一个快捷方式对应部分的事例数据并附内容解说。这里以Windows Media Player在桌面上的快捷方式为例。一、文件的整体结构二、文件头文件头结构,参照下面
转载
677阅读
0评论
0点赞
发布博客于 5 年前

HOOK Object XXProcedure 保护进程

HOOK Object XXProcedure 保护进程lkd> !process PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c    DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.    Image:
转载
453阅读
0评论
0点赞
发布博客于 5 年前

Object Hook原始地址查找

写的Object Hook原始地址查找通用性似乎还可以2009-02-15 11:46如题。有关于SecurityProcedure:部分ObjectType在创建的时候没有提供SecurityProcedure,所以无法得到,但是ObCreateObjectType发现SecurityProcedure被提供为NULL的时候会自行设置为SeDefaultO
转载
591阅读
0评论
0点赞
发布博客于 5 年前

内核无HOOK文件防删除

内核无HOOK文件防删除,可以过冰刃,xuetr,easydelete 本来是打算写暴力删除文件的程序的,结果意外发现,只需要在内核发送irp打开一个文件,之后不关闭Object,就拒绝其他程序访问了,easydelete这个工具还是比较强的,不过也不能删除,关键是不挂钩任何函数,不修该系统内核,看属性的时候只能看到一个常规,其它的什么都看不到,当然了360(7.0
转载
908阅读
0评论
0点赞
发布博客于 5 年前

利用纯汇编写一个WIN32的窗口程序

;ml /coff demo.asm /link /subsystem:windows /entry:main user32.lib kernel32.lib.486.model flat,stdcalloption casemap:none; 函数原型声明MessageBoxA PROTO :dword,:dword,:dword,:dwordRegist
原创
3332阅读
0评论
0点赞
发布博客于 5 年前

32位汇编程序

;编译方法: ml demo.asm /link /subsystem:windows /entry:main user32.lib.386.model flat,stdcalloption casemap:none;extern MessageBoxA:procMessageBoxA PROTO STDCALL :DWORD,:DWORD,:DWORD,:
原创
550阅读
0评论
0点赞
发布博客于 5 年前

学习笔记

1、定义纯汇编的祼函数: void  __declspec(naked) __stdcall NakeFunction(){__asm {nopret}} 2、编译器中断指令用于设置INT 3中断__debugbreak();KdBreakPoint(); 3、内核下修改内存读写属性VOID WPOFF(){  U...
原创
714阅读
0评论
1点赞
发布博客于 5 年前

64汇编写程序

示例代码2.asm;语法:ML64extrn MessageBoxA: proc.datatext     db 'Hello x64!', 0caption  db 'My First x64 Application', 0.codeMain procsub rsp,28hxor r9d,r9dlea r8, captionlea rdx, textxor rcx,r
转载
412阅读
0评论
0点赞
发布博客于 5 年前

PC病毒分析师所需技能和面试题

标 题: 【原创】PC病毒分析师所需技能和面试题作 者: FIGHTING安时 间: 2015-03-26,12:47:33链 接: http://bbs.pediy.com/showthread.php?t=199036今天整理硬盘突然看到几年前做PC病毒分析师时整理的自己一些面试题和一些网上收集的面试题,还有一些可能有用的东西。放上来希望能给对病毒分析感兴趣和或者希望从事这
转载
2146阅读
0评论
2点赞
发布博客于 5 年前

如何在Visual Studio项目中正确添加汇编代码

如何在Visual Studio项目中正确添加汇编代码发表于2013 年 8 月 26 日引用注明>> 【作者:张佩】【原文:www.yiiyee.cn/blog】1.      问题描述在以往的编程经历中,本人最常使用的汇编代码是__asm {int 3}。它可以在我的代码中插入一个软件断点。如果没有一个连接到当前程序的调试器,则程序将停止在这行语句处无法
转载
593阅读
0评论
0点赞
发布博客于 5 年前

windbg-PE完整分析

1.PE结构常用的结构体[plain] view plain copy0:001> dt ntdll!*IMAGE*            ntdll!_IMAGE_NT_HEADERS            ntdll!_IMAGE_FILE_HEADER            ntdll!_IMAGE_OPTIONAL_HEADE
转载
1146阅读
0评论
0点赞
发布博客于 5 年前

【原创】KeUserModeCallback用法详解

标 题: 【原创】KeUserModeCallback用法详解作 者: achillis时 间: 2010-01-10,19:29:43链 接: http://bbs.pediy.com/showthread.php?t=104918ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:代码:NTS
转载
600阅读
0评论
0点赞
发布博客于 5 年前

获取IWebBrowser2指针的方法(二)

版权声明请尊重原创作品。转载请保持文章完整性,并以超链接形式注明原始作者“tingsking18”和主站点地址,方便其他朋友提问和指正。  在Internet Explorer编程中,获取WebBrowser指针通常是一件很重要的事情,因为有了WebBrowser指针,我们就有了对IE完整的控制权。我们就可以对IE浏览器为所欲为了,想干什么都可以。比方说获取或者设置DOM控
转载
682阅读
0评论
0点赞
发布博客于 5 年前

获取IWebBrowser2指针的方法(一)

版权声明请尊重原创作品。转载请保持文章完整性,并以超链接形式注明原始作者“tingsking18”和主站点地址,方便其他朋友提问和指正。 在Internet Explorer编程中,获取WebBrowser指针通常是一件很重要的事情,因为有了WebBrowser指针,我们就有了对IE完整的控制权。我们就可以对IE浏览器为所欲为了,想干什么都可以。比方说获取或者设置DOM控件
转载
1142阅读
0评论
0点赞
发布博客于 5 年前

Dll注入技术之输入法注入

DLL注入技术之输入法注入    输入法注入原理是利用Windows系统中在切换输入法需要输入字符时,系统就会把这个输入法需要的ime文件装载到当前进程中,而由于这个Ime文件本质上只是个存放在C:\WINDOWS\system32目录下的特殊的DLL文件,因此我们可以利用这个特性,在Ime文件中使用LoadLibrary()函数待注入的DLL文件。1.编写Ime文件    输入法
转载
1141阅读
0评论
0点赞
发布博客于 5 年前