2017年10月_H-KING

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月 02月

转载 Backdoor.Zegost木马病毒分析（一）

http://blog.csdn.net/qq1084283172/article/details/50413426一、样本信息样本名称：rt55.exe样本大小： 159288 字节文件类型：EXE文件病毒名称：Win32.Backdoor.Zegost样本MD5：C176AF21AECB30C2DF3B8B8D8AA27510

2017-10-25 09:40:42 5266

转载一个DDOS木马后门病毒的分析

http://blog.csdn.net/qq1084283172/article/details/49305827一、样本信息文件名称：803c617e665ff7e0318386e24df63038文件大小：61KB病毒名称：DDoS/Nitol.A.1562MD5：803c617e665ff7e0318386e24df63038

2017-10-25 09:39:45 1582

转载一个感染型的病毒逆向分析

作者：Fly2015其实对于病毒分析人员来讲，会逆向分析汇编代码只是一个方面，一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后，能大致了解这个病毒有哪些危害，怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。对于代码的具体分析：

2017-10-25 09:38:11 1795 1

转载感染性的木马病毒分析之样本KWSUpreport.exe

一、病毒样本简述初次拿到样本 KWSUpreport_感染.exe.v 文件，通过使用PE工具，并不能辨别出该样本是那种感染类型，使用了一个比较直接的方法，从网上查资料，获取到了该样本的正常EXE文件的一些信息，资料表明：KWSUpreport.exe 是2009年版金山网盾程序的一个上传用户报告的程序模块，因此从网上下载了该版本的金山网盾程序，获取到了正常的KWSUprepo

2017-10-25 09:37:09 631

转载 Word/Excel文档伪装病毒-kspoold.exe分析

一、病毒样本基本信息样本名称:kspoold.exe样本大小: 285184 字节样本MD5：CF36D2C3023138FE694FFE4666B4B1B2病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来，变成kspoold.exe病毒的载体文

2017-10-25 09:36:27 1003

转载一个DDOS病毒的分析(二)

一、基本信息样本名称：hra33.dll或者lpk.dll样本大小： 66560 字节文件类型：Win32的dll文件病毒名称：Dropped:Generic.ServStart.A3D47B3E样本MD5：5B845C6FDB4903ED457B1447F4549CF0样本SHA1：42E93156DBEB527F6CC104372449D

2017-10-24 17:13:06 859

转载一个DDOS病毒的分析(一)

一、基本信息样本名称：Rub.EXE样本大小：21504 字节病毒名称：Trojan.Win32.Rootkit.hv加壳情况：UPX(3.07)样本MD5：035C1ADA4BACE78DD104CB0E1D184043样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成：

2017-10-24 17:12:01 758

转载一个感染性木马病毒分析（三）--文件的修复

一、序言前面的分析一个感染型木马病毒分析（二）中，已经将该感染性木马病毒resvr.exe木马性的一面分析了一下，下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。二、文件感染方式的分析之前感染性木马病毒的分析中，已经提到了病毒对于用户文件的感染方式有2种，分别是加密文件和感染文件传播病毒，至于文件感染的时候采取

2017-10-24 17:09:57 1601 1

转载一个感染型木马病毒分析（二）

作者：龙飞雪0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析（一），但是觉得还不够，不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明，直观感受一下病毒的感染性、木马性质。 0x2病毒木马性

2017-10-24 17:07:34 893

转载一个感染型木马病毒分析（一）

一、样本信息样本名称：resvr.exe（病毒母体）样本大小：70144 字节病毒名称：Trojan.Win32.Crypmodadv.a样本MD5：5E63F3294520B7C07EB4DA38A2BEA301样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895

2017-10-24 16:59:49 5145

转载 “大灰狼”远控木马分析及幕后真凶调查

9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,360QVM引擎团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。一、“大灰狼”的伪装以下是10月30日一天内大灰狼远

2017-10-24 16:17:36 10906 1

转载 windows下shellcode编写入门

0x00、介绍比方说你手头上有一个IE或FlashPlayer现成的漏洞利用代码，但它只能够打开计算器calc.exe。但是这实际上并没有什么卵用，不是吗?你真正想要的是可以执行一些远程命令或实现其他有用的功能。在这种情况下，你可能想要利用已有的标准shellcode，比如来自Shell Storm数据库或由Metasploit的msfvenom工具生成。不过，你必须先理解编写sh

2017-10-24 11:41:20 2665 3

转载在内存中读取函数的ShellCode并执行

在内存中读取函数的ShellCode并执行下面是一个例子，实现的效果是将fun1函数的十六进制读取出来，在内存中将str1的地址改成str2，分配一块内存，将改好的函数的ShellCode写入并执行。[cpp] view plain copy// FunTest.cpp : 定义控制台应用程序的入口点。 // // #inc

2017-10-20 14:19:50 2127

转载 C语言执行shellcode的五种方法

#include "windows.h"#include "stdio.h" typedef void (_stdcall *CODE)();//一段打开Windows计算器(calc.exe)的shellcode unsigned char shellcode[] = "\xb8\x82\x0a\x8d\x38\xd9\xc6\xd9\x74\x24\xf4\x5a\x

2017-10-20 14:06:20 3678

转载绕过360安全卫士的部分代码

利用快捷方式，由用户启动程序，进行绕过360父进程查杀，代码记录于此处，方便查阅[cpp] view plain copyint bypass_360_startup() { TCHAR str_desktop[256]; LPITEMIDLIST pidl; SHGetSpecia

2017-10-20 09:30:39 3871 2

转载木马开机启动的六种方法

木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。其实只要能够遏制住不让它启动，木马就没什么用了，这里就简单说说木马的启动方式，知己知彼百战不殆嘛。　　一、通过"开始\程序\启动"　　隐蔽性：2星　　应用程度：较低　　这也是一种很常见的方式，很多

2017-10-18 12:54:12 7528 2

转载 API Monitor（API监控工具）

概观API Monitor是一个免费软件，可以让你监视和控制应用程序和服务，取得了API调用。它是一个强大的工具，看到的应用程序和服务是如何工作的，或跟踪，你在自己的应用程序的问题。产品特点64位支持 API监控支持监控的64位应用程序和服务。 64位版本只能用来监视64位应用程序和32位版本仅可用于监测的32位应用程序。要监视在64位Windows的32位

2017-10-18 10:23:20 644

转载 C/C++添加设置任务计划

//////////////////代码测试N小时，呵呵~~在硬盘已经睡了好久////// VC++ 6.0 + SP6编译成功/////////#include #include #include #include #pragma comment(lib,"NETAPI32.LIB")void Jobadd(){DWORD JobId;AT_INFO ai;char *

2017-10-14 21:23:00 6566

最近在研究学习一些逆向的东西，其实之前也涉及到这方面的东西，只是之前的系统和应用，基本上都是32位的，所以直接用od来分析就行了，这方面的资料在网上很多，随便一搜到处都是，不过随着技术的不断发展，64位系统出现了，随之64位的应用也出现了，而od只能分析32位应用，所以一些64位应用，od是没办法分析逆向的，所以，在这里要提到另一个可以用于分析64位应用的调试软件，名字叫x64_dbg。网上对于这

2017-10-12 14:18:19 19711 4

转载简单感染PE文件

这个感染方式和win9x时代的CIH病毒感染方式很像。。。@PandaOS这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要，改了就完蛋了。。。别的几乎用不到所以修改DOS头的话，只要不修改首尾字段，几乎不会影响程序的运行。源程序感染后的感染前程序的入口感染后程序的入口只要搜索节中的空隙，然后将代码分成几

2017-10-08 02:49:01 1266

Teleport+Ultra+中文简体破解版

很不错对网页开发的学习有帮助

2017-08-16

SSDTHook实现进程保护

SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

2017-06-09

SkinSharp开发库+百款皮肤+皮肤编辑器

SkinSharp又称Skin#，是Windows环境下一款强大的换肤组件。通用换肤库（SkinSharp）能在软件添加换肤功能，支持所有主流的编程语言，比如C++、Delphi、VB6、.net、易语言等等。

2017-05-24

USB 摄像头

USB 摄像头, 亲测可编译可运行。

2017-05-16

minhook-1.3.2

对windows API钩子感兴趣的人都知道有一个优秀的库被微软命名为'Detours'。它真的很有用，但是它的免费版本（Express）是不支持X64。它的收费版本（Professional）支持x64，但是对我来说太昂贵了。微软说它值一万美元。因此我决定从零开始写我自己的库。但是我没有将Detours的功能完美的复制到我的库中，它仅有API钩子功能，因为这就是我想要的。

2017-05-09

python2.7.8 32

python2.7.8 32位安装包及相关模块安装包，还有32位的PyScripter。资源包含的文件如下： python-2.7.8.msi matplotlib-1.4.0.win32-py2.7.exe MySQL-python-1.2.4b4.win32-py2.7.exe numpy-1.8.1-win32-superpack-python2.7.exe pyparsing-2.0.2.win32-py2.7.exe python-dateutil-2.2.win32-py2.7.exe six-1.7.3.win32-py2.7.exe PyScripter-v2.5.3-Setup.exe

2016-05-25

detours HOOK API

detours HOOK API 官网网速太慢，谁用谁知道

2015-12-23

C++解析JSON

2015-12-02

AStar 算法实例

A星算法对于空地左键单击后会产生障碍，对障碍左键单击会消除障碍，对于起点，两次左键盘单击会消除起点，如果不存在起点，单击右键会产生起点，如果存在起点不存在终点，单击右键会产生终点，如果既存在起点又存在终点，单击右键会消除终点，点击开始寻路回画出路径

2015-07-18

Visual Assist X补丁

码农们，当你使用VAX助手提示更新的时候，当你安装好新版打开VS提示注册的时候，你是否到处在找patch补丁，每次更新你都蛋碎一样到处寻找，这次我们给大家带来超级通用和谐补丁，每次更新VA_X后均可一如既往的正常使用，免去码农到处寻找补丁、反复打补丁、补丁版本不支持现有IDE的痛苦，翠花上菜！

2015-06-18

CrashFinder2.55

CrashFinder，找到崩溃代码行

2015-05-26

appverifier

AppVerifier，专门用来检测那些用普通方法检测不出的意想不到的bug（比如内存溢出、错误句柄使用等）。而且AppVerifier使用非常简单，

2015-05-22

强制复制软件

2015-04-22

破解存储过程的加密

2015-04-22

Python平台

2015-04-05

VC西红柿插件破解版

2015-04-05

各种各样的按钮(VC源码)

2014-11-17

瞬间找文件

2014-09-05

密码查看器.zip

2014-09-05

VC助手破解版

VC助手

2014-09-05

class-loader测试工程

2023-06-01

mainboard测试工程

2023-05-31

编码测试工程.rar

编码测试工程

2019-11-20

cmake-3.14.3-win64-x64.zip

cmake-3.14.3 最新安装版 CMake是一个开源的跨平台工具系列，旨在构建，测试和打包软件。CMake用于使用简单的平台和独立于编译器的配置文件来控制软件编译过程，并生成可在您选择的编译器环境中使用的本机makefile和工作空间。

2019-09-05

luac逆向工具

luac编译之后的逆向，亲测可用详细亲看：https://blog.csdn.net/liujiayu2/article/details/81940701

2018-08-22

ffmpeg推送摄像头rtmp流

详细信息请看： https://blog.csdn.net/liujiayu2/article/details/80880815

2018-07-02

IOCP网络模型

详细信息请看： https://blog.csdn.net/liujiayu2/article/details/80772904

2018-06-28

跨平台高性能TCP服务器框架 &boost;

基于boost的asio封装的高性能TCP服务器。asio已经有很好的事件封装机制，只有底层事件，没有针对TCP建立会话机制；也没有多包进行合包，以包为单位的事件提交机制。由于以上多种原因，决定对boost库进行更高的抽象和封装，对开发者提供一种更为便利的使用接口。

2018-06-25

网狐IOCP压缩版

网狐IOCP压缩版，自己整理了两天，3分不算多吧，遗留问题： 1.由于不太会使用去掉了网络事件（收发数据、网络接受、网络断开）进队列，发的时候直接发送，接收的时候直接回调。不知道原作者都放进队列里面有哪些确切的好处。暂时先这样，后续更新。。。

2018-06-22

用C++实现的壳

基础版壳所实现的功能： 1.在原程序中添加一块区段，将壳部分的代码移植进去。 2.在程序启动前优先获得控制权，执行完自己的代码以后再将控制权交还给原程序。 3.对代码段进行简单的亦或加密。 4.对原程序的导入表（IAT）进行修复。 5.如果原程序开启了随机基址，则对源程序进行重定位修复。

2017-09-14

像加载DLL一样加载EXE

像加载DLL一样加载EXE 介绍你可能已经被警告过，不要用LoadLibrary()加载可执行文件，你可能尝试这么做过，然后程序就崩溃了，所以你可能会认为这是不可能的。但实际上这是可行的，本文就将介绍具体的方法。

2017-09-10

protobuf-2.61最新版

protocolbuffer 以下简称PB 是google 的一种数据交换的格式它独立于语言独立于平台 google 提供了三种语言的实现：java c++ 和 python 每一种实现都包含了相应语言的编译器以及库文件由于它是一种二进制的格式比使用 xml 进行数据交换快许多可以把它用于分布式应用之间的数据通信或者异构环境下的数据交换作为一种效率和兼容性都很优秀的二进制数据传输格式可以用于诸如网络传输配置文件数据存储等诸多领域 ">protocolbuffer 以下简称PB 是google 的一种数据交换的格式它独立于语言独立于平台 google 提供了三种语言的实现：java c++ 和 python 每一种实现都包含了相应语言的编译器以及库文件由于它是一种二进制的格式比使用 xml

2017-08-28

Gh0stVC6到VS2010迁移所有问题的解决方法

gh0st 由VC6.0开发的工程项目，移植到VS2010环境下，会出现各种错误和警告，此类错误多数是由编译器和环境不兼容导致，除修改工程下的某些属性参数外，还需手动修改编译过程中出现的一些错误。

2017-08-15

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人