Windows下的程序设计
文章平均质量分 79
Kendiv
这个作者很懒,什么都没留下…
展开
-
(转载)从IRQ到IRQL(APIC版)
从IRQ到IRQL(APIC版)发布日期:2005-01-24文摘内容: 文摘出处:https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=45502从IRQ到IRQL(APIC版) SoBeIt 事实上,老久的PIC在很早原创 2005-02-08 01:26:00 · 2337 阅读 · 0 评论 -
(转载)安全稳定的实现进线程监控
安全稳定的实现进线程监控创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现进线程监控作者:ZwelL 用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在>一文中已经实现得很好了.原创 2005-03-26 19:34:00 · 5248 阅读 · 0 评论 -
(转载)监视远程线程的创建
作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29 远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远程线程的 ID 等原创 2005-03-26 20:26:00 · 2331 阅读 · 0 评论 -
(转载)在Windows 2003中HOOK ZwCreateProcessEx
创建时间:2005-03-09文章属性:原创文章提交:suei8423 (suei8423_at_163.com)作者:ZwelL工作需要,想控制进程的创建,于是HOOK了ZwCreateProcess,后来发现xp和2003中创建进程的都用NtCreateProcessEx(参见[1])。但是ZwCreateProcessEx未被ntoskrnl.exe导出,用softice的ntcall命令也原创 2005-03-29 02:53:00 · 3012 阅读 · 0 评论 -
(转载)非API函数检测操作系统类型
非API函数检测操作系统类型转自:http://www.xfocus.net/articles/200504/793.html创建时间:2005-04-13 更新时间:2005-04-14文章属性:翻译文章提交:sFqRy (mqphk163_at_163.com)非API函数检测操作系统类型作者:Thomas Kruse,nbw来源:The Assembly-Programming-Journa原创 2005-04-14 06:39:00 · 1639 阅读 · 1 评论 -
(转载)来自 COM 经验的八个教训
来自 COM 经验的八个教训原著:Jeff Prosise本文转载自微软中国社区:http://www.microsoft.com/china/MSDN/library/windev/COMponentdev/CDwickedtoc.mspx发布日期:5/20/2004更新日期:5/20/2004原文出处:Wicked Code: Eight Lessons from the COM School原创 2005-04-15 06:48:00 · 3033 阅读 · 0 评论 -
(转载)深入分析进程PID相同的奥秘
深入分析进程PID相同的奥秘转自:http://www.xfocus.net/articles/200504/792.html创建时间:2005-04-13 更新时间:2005-04-14文章属性:原创文章提交:sunwear (btwlu_at_163.com)深入分析进程PID相同的奥秘作者:sunwearshellcoder@163.com2005年4月 不同的进程真的不能够拥有相同的原创 2005-04-14 06:40:00 · 3073 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(5)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Tuesday, April 19, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 在用户模式下控制API Hooks运行在用户模式的Spy客户端可通过一组IOCTL函数来控制API Hook机制及其生成的协议。这一组函数的名字都以SPY_IO_HOOK_开始,在第四章已翻译 2005-04-19 15:48:00 · 2653 阅读 · 6 评论 -
(转载)Win32 调试接口设计与实现浅析
所谓调试器实际上是一个很宽泛的概念,凡是能够以某种形式监控其他程序执行过程的程序,都可以泛称为调试器。在Windows平台上,根据调试器的实现原理大概可以将之分为三类:内核态调试器、用户态调试器和伪代码调试器。 内核态调试器直接工作在操作系统内核一级,在硬件与操作系统之间针对系统核心或驱动进行调试,常见的有SoftICE、WinDbg、WDEB386和i386KD等等;用户态调试器则通过原创 2005-04-27 19:15:00 · 2793 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(6)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Thursday, April 28, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 IOCTL函数 SPY_IO_HOOK_REMOVEIOCTL函数SPY_IO_HOOK_REMOVE函数和SPY_IO_HOOK_INSTALL很相似,只不过它执行与SPY_IO_H翻译 2005-04-28 18:20:00 · 2441 阅读 · 0 评论 -
(转载)编写进程/线程监视器
编写进程/线程监视器创建时间:2003-03-21文章属性:原创文章来源:http://www.whitecell.org文章提交:sinister (jiasys_at_21cn.com)编写进程/线程监视器Author : sinisterEmail : sinister@whitecell.org HomePage: http://www.whitecell.org (首先说明一下。有原创 2005-03-26 19:31:00 · 2055 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(7)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Tuesday, February 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 内存Dump工具----本书示例程序现在你已经学完了复杂和让人困惑的内存Spy设备的IOCTL函数的代码,你可能想看这些函数运行起来是什么样翻译 2005-02-19 06:28:00 · 2738 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(1)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Sunday, February 14, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 内存管理对于操作系统来说是非常重要的。本章将全面的纵览Windows 2000的内存管理机制以及4GB线性地址空间的结构。针对此部分内容,将解释Intel翻译 2005-02-13 00:59:00 · 2847 阅读 · 3 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(3)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv (fcczj@263.net )更新:Sunday, February 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 Memory Spy Device示例微软对Windows NT和2000说的最多的就是它们是安全的操作系统。它们不但在网络环境中加入了用户验翻译 2005-02-16 09:46:00 · 2895 阅读 · 3 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(4)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv (fcczj@263.net )更新:Sunday, February 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 尽管Spy设备使用可缓冲的I/O,但它还是会检查输入/输出缓冲区的有效性。因为客户端程序传入的数据可能比所需的少或者提供的缓冲区不够容纳输出数据。翻译 2005-02-16 09:55:00 · 2695 阅读 · 3 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(8)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Tuesday, February 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 请求式分页动作在讨论Spy设备的SPY_IO_MEMORY_DATA函数时,我提到过该函数可以读取已被置换到页面文件中的内存页。要证明这一点翻译 2005-02-22 05:12:00 · 2531 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(1)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Thursday, February 24, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 拦截系统调用在任何时候都是程序员们的最爱。这种大众化爱好的动机也是多种多样的:代码性能测试(Code Profiling)和优化,逆向工程,用户活动记录等等翻译 2005-02-22 08:40:00 · 3785 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(2)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Thursday, February 24, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 汇编语言的救援行动通用解决方案的主要障碍是C语言的典型参数传递机制。就像你知道的,C通常在调用函数的入口点之前会将函数参数传递到CPU堆栈中。根据函数需翻译 2005-02-24 06:38:00 · 3232 阅读 · 6 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(2)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Sunday, February 14, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。数据结构本章随后的示例代码的某些部分将涉及底层的内存管理机制,在前面我们已快速浏览了该机制内部的大致轮廓。为了方便,我用C语言定义了几个数据结构。这翻译 2005-02-14 10:44:00 · 2366 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(5)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Sunday, February 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 IOCTL函数SPY_IO_INTERRUPTSPY_IO_INTERRUP类似于SPY_IO_SEGEMT,不过该函数仅影响存储在系统中断描翻译 2005-02-18 00:35:00 · 2875 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(6)
第四章 探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Sunday, February 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 IOCTL函数SPY_IO_PDE_ARRAYSPY_IO_PDE_ARRAY是另一个普通的函数,它只是简单的把整个页目录(开始于地址0xC0翻译 2005-02-18 00:39:00 · 2721 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第五章(7)
第五章 监控Native API调用翻译:Kendiv( fcczj@263.net )更新:Friday, April 29, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 一个简单的Hook协议读取程序为了帮助你编写自己的API Hook Client程序,我给出了一个简单的示例行的程序,该程序可以读取Hook协议缓冲区中的数据并在控制台窗口中显示。通过按下P翻译 2005-04-29 16:51:00 · 2629 阅读 · 1 评论 -
(转载)管理员组获取系统权限的完美解决方案
管理员组获取系统权限的完美解决方案创建时间:2005-04-28原文出处:http://www.xfocus.net/articles/200504/795.html原文作者:suei8423 (suei8423_at_163.com)管理员组获取系统权限的完美解决方案Author : ZwelLBlog : http://www.donews.net/zwellDate : 2005.4原创 2005-05-01 14:36:00 · 1989 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(7)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Sunday, May 15, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 访问未导出的符号为什么我们要允许应用程序执行本该内核驱动程序完成的操作?我们能将应用程序的能力增强到内核驱动程序也无法达到的程度吗?我们可以调用既没有文档化也没有导出的内部函数吗?这听起来有些翻译 2005-05-15 02:29:00 · 2840 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(1)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Thursday, May 19, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 在Windows 2000内部几乎没有什么比它的对象还有趣。如果可以像观看行星表面一样查看操作系统的内存空间,那么对象看起来就像活在行星上的生物。存在着多种类型的对象,有大有小,有复杂翻译 2005-05-20 23:37:00 · 3749 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(1)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 枚举符号 毫不留情的批判完psapi.dll后,现在是说些好话的时候了。psapi.dll可能比较失败,但另一方面,imagehlp.dll却十分完美! 我曾深入研究这翻译 2005-05-21 04:37:00 · 4025 阅读 · 5 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(2)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 .dbg文件的内部结构Windows NT 4.0组件的符号化信息均保存在扩展名为.dbg的文件中。如果假设符号文件所在的根目录为:d:/winnt/symbols,则组件f翻译 2005-05-21 04:40:00 · 3409 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(3)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。进程和线程对象或许最吸引人同时也是最复杂的Windows 2000对象就是进程、线程对象了。这些对象通常是软件开发人员必须处理的顶层对象。一个内核模式组件总是运行在某个线程的上下文中,而一个线翻译 2005-05-22 23:04:00 · 4370 阅读 · 1 评论 -
(转载)检测并禁用隐藏服务
检测并禁用隐藏服务创建时间:2005-05-30文章属性:原创文章提交:linux2linux (linux2linux_at_163.com)隐藏服务的概念是由hxdef 和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己,原本通过调用Windows API调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的,不值得信任的。目前针对查找隐藏服务的工具已经有很多,原创 2005-05-31 07:28:00 · 3359 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(4)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Wednesday, May 25, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 .pdb文件的内部结构在安装完Windows 20000符号文件之后,你会发现最明显的不同是每个模块都有与其相关的两个符号文件:一个扩展名为.dbg,新增加的那个文件的扩展名翻译 2005-05-25 23:37:00 · 5716 阅读 · 38 评论 -
Dr.Watson使用技巧摘要
Dr.Watson使用技巧摘要 For Win98/WinME the executable is DRWATSON.EXEFor WinNT/Win2000/WinXP the executable is DRWTSN32.EXE (although DRWATSON.EXE is provided for backwards compatability)DrWatson.exe (us转载 2007-06-14 01:02:00 · 6846 阅读 · 1 评论 -
优先级反转+解决方案
1. 优先级反转(Priority Inversion) 由于多进程共享资源,具有最高优先权的进程被低优先级进程阻塞,反而使具有中优先级的进程先于高优先级的进程执行,导致系统的崩溃。这就是所谓的优先级反转(Priority Inversion)。2. 产生原因 其实,优先级反转是在高优级(假设为A)的任务要访问一个被低优先级任务(假设为C)占有的资源时,被阻塞.而此时又有优先级原创 2007-09-18 01:33:00 · 14198 阅读 · 6 评论 -
(转载)玩转Windows /dev/(k)mem (p59-0x10)
原文:“Playing with Windows /dev/(k)mem”(p59-0x10)原作者:crazylord 翻译:RefdomEmail: refdom@xfocus.org (refdom@263.net)Homepage: http://www.xfocus.org /(http://www.opengram.com/)Date:2002-8-11(Refdom注:本文提供的原创 2005-05-13 23:23:00 · 4671 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(4)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 06, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 通往用户模式的桥梁现在,内核调用接口的演化已经缓慢的到达了终点----至少已经涉及内核模式(kernel-mode)。让我们总结一下到目前为止,我们已经获得了什么:l 名为Sp翻译 2005-05-06 20:27:00 · 3403 阅读 · 1 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(2)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 13, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。在运行时链接到系统模块在实现了基本的内核调用接口之后,接下来的问题是将符号化的函数名解析为线性地址,这一地址时CALL指令所需要的(见列表6-2)。这一步很重要,因为你不能确定内核API函数的入翻译 2005-05-05 06:06:00 · 2971 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(5)
第六章 在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 13, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 将调用接口封装为DLL尽管w2k_spy.sys已经导出了针对内核函数的IOCTL调用接口,但该接口在使用时多少有些不太方便。如果你想调用一个简单的函数,如MmGetPhysicalAddre翻译 2005-05-13 23:16:00 · 3003 阅读 · 0 评论 -
(转载)利用内核级通用Hook检测系统中的进程
利用内核级通用Hook检测系统中的进程作者: LionD8QQ: 10415468Email: LionD8@126.comBlog: http://blog.csdn.net/LionD8 or http://liond8.126.com/介绍通用Hook的一点思想: 在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问原创 2005-05-14 03:41:00 · 2360 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第一章(补充:PDB格式)(3)
第一章 Windows 2000对调试技术的支持翻译:Kendiv ( fcczj@263.net )更新:Tuesday, May 03, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 CodeView子节(CodeView Subsections)CodeView是微软自己的调试信息格式。随着微软C/C++编译器和链接器的发展它也经历了很多变化。有些Cod翻译 2005-05-21 04:43:00 · 3505 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(2)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。OBJECT_TYPE结构在前面讨论对象表头字段时,总是涉及到“类型对象”或OBJECT_TYPE结构,那么现在就让我们开始讨论它们。正式的来讲,一个类型对象是一种特殊类型的对象,它可以是一翻译 2005-05-22 01:32:00 · 4215 阅读 · 0 评论 -
《Undocumented Windows 2000 Secrets》翻译 --- 第七章(4)
第七章 Windows 2000的对象管理翻译:Kendiv( fcczj@263.net )更新:Sunday, May 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 线程和进程环境块你可能会很困惑:KTHREAD和EPROCESS结构中的Teb和Peb成员有什么实际价值?Teb,指向一个线程环境块(TEB),见列表7-18。TEB的第一部分是线程信息块翻译 2005-05-23 23:44:00 · 4102 阅读 · 8 评论