2015年11月_jiangqin115

转载如何在网页中打开一个本地桌面程序

通过网页链接打开本地本地程序，想到最多的方法就是通过activex控件，但这里介绍一个通过注册新协议来打开本地程序的方法。参考网上的对QQ的分析，原理很简单：注册新协议并且关联该协议的执行程序，这样当点击该协议的URL链接时就会启动相应的执行程序。具体原理方法可以参考以下内容~ 　如果你电脑中装有QQ，在IE地址栏输入：“tencent://Messag

2015-11-26 20:30:14 3553

原创两种方法访问多层嵌套的frame

问========================================在您的网站拜读了关于TWebBrowser的使用方法，但是一直有一个问题困扰我，就是如何取得frame嵌套frame的HTML的原码，我只是知道单个frame如何取得源码，但是多个frame嵌套就没有办法，请教一下！2004-09-29 23:41:28答=================

2015-11-19 19:49:57 3585

转载虚拟机检测技术剖析

前言在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机（Virtual Machine）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件（比如VMware，Virtual PC ,VirtualBox），你可以在一台物

2015-11-15 17:22:11 873

转载 (转)ZwQuerySystemInformation枚举内核模块及简单应用

http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17简单说，即调用第11号功能，枚举一下内核中已加载的模块。部分代码如下：//功能号为11，先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存

2015-11-10 14:21:35 986

转载 (转)关于TDI过滤和通讯的一点儿体会

http://blog.sina.com.cn/s/blog_539dee350100nekw.html　　TDI驱动在内核模式下工作，本来想写一个TDI的过滤驱动，主要过滤TDI_SEND和TDI_RECEIVE包，TDI_SEND部分很容易写，通过双机调试，很快就找到了数据位置，不过这一点并不是那么显而易见，我在网上找过的资料就没有一处说明了数据的具体位置，不知道那些人怎么想的，而微软

2015-11-10 14:20:14 870

转载 (转)TDI FILTER 网络过滤驱动完全解析

http://blog.csdn.net/charlesprince/article/details/5924376　　TDI FILTER 过滤驱动的功能一般用来进行整个系统中的所有网络流量的分析，记录和管理，可以实现非常强大的管理功能，这里就将讨论它的设计架构，和具体实现的方法。　　进行系统级网络数据包的过滤，很明显，第一步需要在系统内核中截取到网络数据包，那么在WINDOWS

2015-11-10 14:19:49 1780

翻译 (转)驱动开发之五 --- TDI之八【译文】

http://hi.baidu.com/combojiang/item/fe7ee5147f64a621f6625c0e步骤8：关闭句柄这个函数被两个句柄调用，传输句柄和上下文句柄。NTSTATUS TdiFuncs_CloseTdiOpenHandle(HANDLE hTdiHandle, PFILE_

2015-11-10 14:19:24 457

翻译 (转)驱动开发之五 --- TDI之六【译文】

http://hi.baidu.com/combojiang/item/d0287ca509180ddf5bf19132同样的使用TDI_RECEIVE来完成数据接收。然而我们却没有用它来实现。实际上，如果你注意到，你可以创建回调来通知你数据或者其他事件什么时候到达。这就是我们所做的。我实现了一个API包装函数来创建任意的事件句柄。如下： NTSTATUS TdiFuncs

2015-11-10 14:18:27 647

翻译 (转)驱动开发之五 --- TDI之三【译文】

http://hi.baidu.com/combojiang/item/778f34ad3c88e9ac29ce9d32接上步骤2：打开连接上下文第二步是打开连接上下文。在你建立的连接中，执行后续的操作会用到这个句柄。这也是由ZwCreateFile完成，也是在相同的设备"\Device\Tcp"上执行。实际上这个设备允许你打开三个不同的句柄。这三个句柄是传输句柄，连接上下

2015-11-10 14:17:19 729

翻译 (转)驱动开发之五 --- TDI之二【译文】

http://hi.baidu.com/combojiang/item/e0e610dcfce00413e0f46f0e接上：传输设备接口　　前面socket知识的了解是为了让你对TDI API做好准备。传输设备接口是一组用于驱动中, 与传输协议驱动通讯的API. 就像TCP。传输驱动实现了这组API,所以你的驱动能够与它通讯。　　这比socket的使用多少

2015-11-10 14:16:33 807

翻译 (转)驱动开发之五 --- TDI之一【译文】

http://hi.baidu.com/combojiang/item/635f7c0d3b3c2b14addc700e理论：　　本篇的题目有点容易让人误解。出于演示目的，我们写一个TDI客户端，但这并不是我们本篇的目的所在。本篇意在进一步探究怎样处理irp和怎样与之交互。本篇将会介绍怎样排队和处理要取消的IRP. 本篇真正的题目应该是“IRP处理介绍“，然而它不是一个非常引人注意

2015-11-10 14:16:08 886

原创反调试技术揭秘

在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术，首先我们来看看反调试技术。一、Windows API方法 Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerP

2015-11-10 14:14:19 569

原创驱动程序与应用程序之间共享内存

http://blog.csdn.net/whf727/article/details/2592267　　随手写点自己碰到的问题。在写内核模式的驱动程序时，经常需要做的就是驱动程序和应用程序之间的通信。如应层程序和驱动程序之间共享事件来完成同步，事件可以有应用程序来创建然后将其句柄下发到驱动程序中，驱动程序进行引用等操作，就可以实现共享事件了。这里就不说这个了，主要说说驱动和应用程序之间的

2015-11-10 14:12:47 2121 1

原创 SSDT HOOK拦截远线程的创建（下）

http://nokyo.blogbus.com/logs/37850401.html 第三部分：从进程句柄获取信息　　在第二部分我们使用了一个前提：可以通过进程句柄得到PID等信息。事实上这是可行的，这一部分我们就进行介绍。我这里使用的是炉子大虾的《API HOOK实现ring3的进程保护》一文中提到的方法。炉子那篇文章里讲的很详细，这里只

2015-11-10 14:10:34 668

原创 SSDT HOOK拦截远线程的创建（上）

http://nokyo.blogbus.com/logs/37787913.html　　在ring3的API HOOK中，怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下，我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。因为CreateRemoteThread的使用方法并不复杂，而且与其他方式相比，它

2015-11-10 14:10:01 1079

jiangqin115的专栏