- 博客(6)
- 资源 (40)
- 收藏
- 关注
原创 R3下远程线程注入/IAT Hook
先上程序,然后慢慢解释 // remoteIATHook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #include #include #include #pragma comment(lib,"user32.lib") #define OPEN
2015-05-27 15:38:32 1325
原创 IoConnectInterrupt个人注释
/* * @implemented 来看一下跟中断对象有关的两个对象: typedef struct _IO_INTERRUPT { KINTERRUPT FirstInterrupt; PKINTERRUPT Interrupt[MAXIMUM_PROCESSORS]; KSPIN_LOCK SpinLock; } IO_INTERRUPT, *PIO_INTERR
2015-05-26 21:19:26 1903 1
原创 用List和Map文件定位bug
#include "stdafx.h" int _tmain(int argc, _TCHAR* argv[]) { char* ptr = NULL; *ptr = 'A'; return 0; } 这段程序bug很显见,要定位bug也不难。但是,如果把这代码发布出去,直接运行会有这样的错误,最多看到汇编指令: 这时怎么定位程序? 首先0x00CA1378,这地址看着有点高,一
2015-05-21 23:56:57 1147
原创 DPC分析 基于ReactOS0.33
windows的过程,有如linux的软中断。以前Linux内核中自旋锁同步分析提到过,Linux通过IN_HARDIRQ/IN_SOFTIRQ来屏蔽软中断的执行,windows其实也类似,偷梁换柱的用IRQL来代替这些概念:IRQL高于DPC_LEVEL时,DPC过程无法执行,因为可能是中断过程正在执行;当通过KfLowerIrql降低IRQL请求级别到DPC_LEVEL及以下时开始执行DPC过
2015-05-21 21:56:41 979
原创 一步一步简单的保护我们的源码(2)
在中,提到了几种保护源码的方式,本文再新增一种方式。 众所周知,PE文件有诺干节区(至少有.text/.data节),而一般源文件经过编译生成PE文件后,其可执行码就存放在PE文件的.text节区。并且节中可执行的指令集在磁盘中的分布和加载到内存后的分布是一样的。当调试程序而在某代码地址上下断点时,调试器会用int 3(0xcc)替换改地址上的指令,然后在异常中恢复。很明显,在下断点调试
2015-05-11 17:01:28 840
原创 windbg r eip=0xxxxxxxxx如何实现?
如题 代码如下: void func() { int i=0; i++; return; } int main() { func(); return 0; } windbg输出如下: call eip!ILT+0(?funcYAXXZ) (00401005) 00401005 e916000000 jmp eip!func (00401020) 0
2015-05-05 20:52:36 1072
Windows 10 x64 hal.zip
2020-04-20
Anti-DBG.zip
2017-09-23
Anti-DbgV2.zip
2017-09-23
checked build acpi.sys
2016-10-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人