![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
技术文摘
文章平均质量分 62
Garnett25
这个作者很懒,什么都没留下…
展开
-
C++高效编程忠告
一、#include “filename.h”和#include 的区别#include “filename.h”是指编译器将从当前工作目录上开始查找此文件#include 是指编译器将从标准库目录中开始查找此文件二、头文件的作用加强安全检测通过头文件可能方便地调用库功能,而不必关心其实现方式三、* , &修饰符的位置int *i,j; // better for read i = new转载 2007-07-19 21:55:00 · 663 阅读 · 0 评论 -
强制删除文件——直接发IRP到文件系统
学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95 上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟发送IRP(2)使用内核事件对象同步IRP的执行 强制删除文件的思路很简单,把SECTION_OB转载 2009-03-16 14:42:00 · 1266 阅读 · 0 评论 -
用SystemLoadAndCallImage加载Rootkit
[前言] 我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几乎是一片空白,就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的ROOTKIT》。到国外的网站转了几天倒是收获非浅,国外在这方面的研究确实深刻多了。现在我翻译另一篇Gary Hoglund的文章,在这篇文章里我加入了一些个人的注释,如果大家对NT ROOTKIT感兴趣的转载 2009-03-12 21:54:00 · 592 阅读 · 0 评论 -
使用ZwLoadDriver加载驱动
转载 2009-03-12 21:57:00 · 827 阅读 · 0 评论 -
【转】编程实现木马的ActiveX启动和注入IE的启动方式
木马的启动方式有很多种,现在比较流行的就是注册为系统服务启动(只适合Windows 2000以上的系统),或者以驱动的方式启动。不过,最近以ActiveX方式启动又比较流行了,因为它适合Windows 9x或2000以上的机器,而且杀毒软件(比如瑞星、江民、金山等)基本不会去监视这种启动方式,比较隐蔽。以ActiveX方式启动的木马国外的比较多,于是就到网上查找相关代码,发现了RE转载 2009-03-05 10:34:00 · 894 阅读 · 0 评论 -
【转】内核打印字符串 DbgPrint
空结尾的字符串,你可以用普通得C语法表示字符串常量 1) DbgPrint(“Hello World!”); //直接打印字符串。 2) char variable_string[] = “Hello World”; DbgPrint(“%s”,variable_string); 空结尾的宽字符串(WCHAR类型) WCHAR string_w[] = L“Hello Wo转载 2009-03-04 16:50:00 · 1618 阅读 · 0 评论 -
【转】中华吸血鬼分析
这是一个具有多种传播功能和反杀毒软件功能的下载者病毒,传播方式新颖独特,需要严密防范! 下面是该病毒的详细分析报告: 病毒初始化过程: 1.创建一个互斥量:中华吸血鬼2.2 2.删除SOFTWARE/Microsoft/Active Setup/Installed Components/{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E21转载 2009-03-05 10:37:00 · 983 阅读 · 0 评论 -
一位软件工程师的6年总结
作者:成晓旭 (声明:欢迎转载,请保证文章的完整性) “又是一年毕业时”,看到一批批学子离开人生的象牙塔,走上各自的工作岗位;想想自己也曾经意气风发、踌躇满志,不觉感叹万千……本文是自己工作6年的经历沉淀或者经验提炼,希望对所有的软件工程师们有所帮助,早日实现自己的人生目标。本文主要是关于软件开发人员如何提高自己的软件专业技术方面的具体建议,前面几点旨在确定大的方向,算是废话吧。转载 2007-08-30 20:51:00 · 548 阅读 · 0 评论 -
指针
摘录的别人的:C语言所有复杂的指针声明,都是由各种声明嵌套构成的。如何解读复杂指针声明呢?右左法则是一个既著名又常用的方法。不过,右左法则其实并不是C标准里面的内容,它是从C标准的声明规定中归纳出来的方法。C标准的声明规则,是用来解决如何创建声明的,而右左法则是用来解决如何辩识一个声明的,两者可以说是相反的。右左法则的英文原文是这样说的:The right-left rule: Start转载 2007-08-06 10:39:00 · 764 阅读 · 0 评论 -
键盘过滤驱动之IRP劫持
参考资料:[1] 《Rootkits——Windows内核的安全与防护》[2] 让一切输入都难逃法眼(驱动级键盘过滤钩子) 本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。 这里简单地列举了几个需要注意的地方:[1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。[2] 键盘过滤驱转载 2009-03-16 14:47:00 · 1247 阅读 · 0 评论