lwglucky的专栏

黑旋免费菜鸟班第一课--DOS命令的基础详解和使用[url]http://www.hackp.com/cnpx/1.rar[/url] 黑旋免费菜鸟班第二课--灰鸽子使用方法详解[url]http://www.hackp.com/cnpx/2.rar[/url] 黑旋免费菜鸟班第三课--灰鸽子使用方法详解(内网路由影射上线)[url]http://www.hackp.com/cnpx/

在曾经热播的电视剧《蜗居》里，海藻的母亲对其女与宋思明的苟合，于无可奈何之际讲了中国的一句俗话：富养女孩穷养儿。环顾尘世，重温此言，确乎感慨万端…… ——题记 【引言】红尘滚滚，欲望多多。在这个物欲横流的时代里，我们对信仰的失落，道德的滑坡，行为方式的荒唐，似乎已经束手无策，也仿佛无可奈何。可退一步说，就算你没有什么崇高的信仰，没有什么高尚的情操，至少你在养儿育女的问题上，还是有向好趋纯的良知

/* This simple app demonstrates how to kill process by writing processs memory.   Write by EP_X0FF and DNY,I just extract it to C      ---- zjjmj2002 */ #include #include #include

内核注入，技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL，有的无文件，全部存在于内存中。可能有部分人会说：“都进内核了.什么不能干？”。是啊，要是内核中可以做包括R3上所有能做的事，软件开发商们也没必要做应用程序了。有时，我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事，进程 /  DLL是不错的选择，但进程目标太大，所以更多的同学趋向于注DLL。     若

结构化异常处理（StructuredExceptionHandling，SEH）是Windows操作系统处理程序错误或异常的技术 。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。 外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。 由于Ollydbg 对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率。 附CONTEXT结构环境

使用该技术背景: 在目标主机安放后门,需要将数据传输出去,同时数据很重要,动作不能太大.其他情况"严重"不推荐使用该技术(后面我会讲到为什么).     针对目前防火墙的一些情况,如果自己的进程开一个端口(甚至是新建套接字)肯定被拦.相反,有一点我们也很清楚:被防火墙验证的进程在传送数据时永远不会被拦.所以,我的思路很简单:将其他进程中允许数据传输的套接字句柄拿为已用.过程如下: 1. 找

摘要 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中（Specs and Strategy, Specifications, Windows NT File Format Specifications），但是它非常之晦涩。 然而这一的文档并未提供足够的信息，所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题

=========================== |“PE文件格式”1.9版注释：| =========================== ①Win32s和Win32 Win32s是“WIN32subset”的缩写，它是一个可被加入到Windows3.1和WindowsforWorkgroups系统中以使它们能够运行32位应用程序的软件包。正如它的名字所暗示的那样，Win

几个重要的函数： [特别划来的几个底层函数很有用，有公开的、也有没公开的，有用就收起来] ± NtQueryDirectoryFile ± 在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。 NTSTATUS NtQueryDirectoryFile( IN HANDLE FileH

[1] 说明 这篇文章分类并提供了几种在基于WINDOWS NT的操作系统中使用的反调试技术.反调试技术是程序用来检测自身是否运行于调试器之下的各种方式之一.它们被用于商业执行保护,加壳以及恶意软件, 为了阻止或减慢逆向工程过程.我们假定程序是在ring3级调试器,例如Windows平台的OllyDbg下分析.本文的目标是逆向工程人员和恶意软件分析人员.注意有一点我们只单纯的涉及一些基本的反调

序写程序总要基于一定的假设或者说前提。而错误的出现往往是由于假设错误所造成的，所以当出现错误时，需要追踪每个片断的上下文。在问题的这个角度上，调试器是对人的一种解放。记得刚进校时，很多同学连C与MSVC都无法分清，调试器就别提了。其实我觉得，不会运用调试器是会吃大亏的。熟练地使用调试器不但能够避免不必要的人力劳动，也可以通过分析程序执行来获取或验证很多细节知识。先对调试器大话一篇是有必要的。至少能

  Name Description AtlCanonicalizeUrl Call this function to canonicalize a URL, which includes converting unsafe characters and spaces into escape sequences. AtlCombineUrl Call this func

解释型语言不需要编译，修改方便是一个很大的优点 c语言可以算是我在计算机语言的母语了（虽然学过pascal，可惜没编程过。。。），今天居然看到有c的解释器了，载下来，发现IDE不会配置，cmd下面运行的倒是可以，而且连c++和STL都支持，相当不错 UnderC ACMer可以试试吃螃蟹 附上命令行下的参数说明 Command Summary When UCW loads

一）安装Paimei on Python2.5的一般过程： 1）安装python-2.5.2.msi    注意：由于python 2.5版本安装文件中包含了ctypes，故不需要额外安装 2）安装wxPython2.8-win32-unicode-2.8.9.1-py25.exe 3）安装MySQL-python-1[1].2.2.win32-py2.5.exe   

狐狸 鹅 老鼠 猴子 骆驼 大嘴鸟 昆虫类 蜻蜓 蝎子 瓢虫 螳螂 蜜蜂 折纸图解—魔幻类 蝙蝠

A：这鸡蛋真难吃。 　　　　B：隔壁的鸡给了你多少钱? 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：有本事你下个好吃的蛋来。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：下蛋的是一只勤劳勇敢善良正直的鸡。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：再难吃也是自己家的鸡下的蛋，凭这个就不能说难吃。 　　　　 　　　　A：这鸡蛋真难吃。 　　　　B：比前年的蛋已经进步很多

条件断点（condition breakpoint）的是指在上面3种基本断点停下来后，执行一些自定义的判断。   在基本断点命令后加上自定义调试命令，可以让调试器在断点触发停下来后，执行调试器命令。每个命令之间用分号分割。 语法格式如: 0:000> bp Address "j (Condition) OptionalCommands; gc " 0:000> bp Address

  windbg 如何再内核模式调试用户空间的程序 收藏 1：使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****     PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000     DirBase: 0000

正如你所见，我计划只用2个节，一个用于代码，一个用于所有剩余的东西（数据、常量和输入目录等）。没有重定位和象资源之类其它东西。我也不用BSS节并将变量“written”放入已初始化数据。文件和RAM中的节对齐都是一样的（32字节）；这将有助于使任务简单，否则我就得来回地计算RVA很多次。 现在我们设置数据目录，开始于0xb8字节，有0x80字节长: 地址 大小 00000000

总结一下：如果你想从“knurr”DLL中查找输入函数“foo”的信息，第一步你先找到数据目录中的IMAGE_DIRECTORY_ENTRY_IMPORT（输入目录项）项，得到一个RVA，再在原始节数据中找到那个地址，现在你就得到一个IMAGE_IMPORT_DESCRIPTOR（输入描述结构）数组了。通过查看根据它们的“名称”被指向的字符串，得到和“knurr”DLL有关的这个数组的成员（即一个

通过Hook SSDT (System Service Dispatch Table) 隐藏进程 1.原理介绍:        Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换，从用户模式转换到内核模式。2Eh中断的功能是通过NTOSKRNL.EXE的一

The following table shows the symbolic constant names, hexadecimal values, and mouse or keyboard equivalents for the virtual-key codes used by the system. The codes are listed in numeric order. Symb

用LuaBind很久了。感觉LuaBind总体上来说是可用的，但是问题有不少： 1. 有一个GC问题。问题出在引用技术和GC之间的配合上。 2. 编译速度慢。模板+Boost 导致编译速度那个慢啊。 3. 运行速度慢。大量使用Lua的注册表机制，性能堪忧。 4. 出错不好差。模板用的太复杂。 总的来说，小心使用，LuaBind 还是可以用的。

         开篇——环境假设                                                                                                                                          By : HengStar（欣恒） 原文地址：http://blog.csdn.n

最近在用java写监视文件系统的东东，特对C++和Java下的不同实现方法做一小结。 1.Java环境下 很多人都说用文件轮询HashTable，然后如何如何比较，这种方法效率极为低下，还会造成无谓的磁盘读写。好了JDK 7中提供了java.nio.file大家可以通过 WatchService 来实现对文件的事件的监听。千万记得在JDK 7下哈，现在的JDK7的预览版发布到 jdk-7-

参数解释： -e 程序重定向 -t 用telnet来回应 -l 监听本地端口 -p 指定本地端口 -v 获得端口信息 -vv 获得详细的端口信息 -z 关闭输入输出 -n 指定IP地址 -w 设定超时时间 -u UDP端口 我就知道这么些参数 了： 第一个: nc -l

一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件! OD载入后,CTRL+B,816C24 确定后,就会来到下图处: 然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就继续

前些时候做DOS方面的测试，由于协议学得不够好，有些回应不记得，所以就首先想到用hping来定制一些包，看看远程主机的回应。结果下载 的hping死活都不发包，换了多个不同版本的winpcap都不行。一怒之下，决定自己写个简单的。首先想到的是perl来做，最后觉得一样要安装 winpcap还有很多别的模块，不如直接c来实现一下，来得更痛快。 需要说明一下的是，在以太网头那里我故意偷懒了，没有获取

我们在用VC++编写Windows程序的时候可能会发现一般可执行体（.EXE）的文件体积都比较大，于是非常羡慕那些使用Win32汇编编写程 序的人，因为他们编写的可执行文件非常小。其实应用程序的体积是一方面，另外应用程序的部署环境则是需要注意的另一方面，这方面我深有体会，曾经使用 Visual Studio 2008编译过一个C++的Win32程序，本地测试正常，但是部署到客户机时，出现缺少什么动

Lua的静态编译(for 5.1) --by Coollen.MMX 在下找遍了好多网站也没找到Lua的静态编译方法，而Lua自带的说明上也没有太详细的说明，作为一个新时代的程序员，背负着开创未来的历史责任……，写一点关于Lua编译手册。（可怜的Lua，和Python没法比啊，可惜在下又偏偏比较喜欢）。 准备： 1 VS 2005 2 lua 5.1 (http://www.

[注意：本译文的所有大小标题序号都是译者添加，以方便大家阅读。圆圈内的数字是注释的编号，其中注释②译自微软的《PECOFF规范》，其它译自网络。----译者] 一、前言（Preface） ------------------ PE（“portableexecutable”，可移植的可执行文件）文件格式，是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件

PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。（注意：DOS MZ Header和部分PE header的大小是不变的；DOS stub部分的大小是可变的。） 一个PE文件至少需要两个Section,一个是存放代码，一个存放数据。NT上的PE文

上一节中我们对PE文件的各个部分的作用有了一个总体的认识，从这节起我们会对PE文件的每个部分作更进一步的解释，当然别忘记了上一节中我提出的两个问题。 1.DOS MZ header 和 DOS Stub：         所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它，一旦程序在DOS下执行，DOS就能识别出这

什么是PE文件格式：     我们知道所有文件都是一些连续（当然实际存储在磁盘上的时候不一定是连续的）的数据组织起来的，不同类型的文件肯定组织形式也各不相同；PE文件格式便是一种文件组织形式，它是32位Window系统中的可执行文件EXE以及动态连接库文件DLL的组织形式。为什么我们双击一个EXE文件之后它就会被Window运行，而我们双击一个DOC文件就会被Word打开并显示其中的内容；这说

这节即将学习的Import Table和下节的Export Table关系密切，两者联合起来就可以解决我们开始提出的问题。在说明Import Table和Export Table的作用之前先让我们明白编译器是如何处理我们调用外部库函数的。在PE 文件中，当你调用另一模块中的函数（例如USER32.DLL 中的GetMessage），编译器制造出来的CALL 指令并不会把控制权直接传给DLL 中的函

现在我们知道如何找到引入表了。Data Directory数组第二项的VirtualAddress包含引入表地址。引入表实际上是一个 IMAGE_IMPORT_DESCRIPTOR 结构数组。每个结构包含PE文件引入函数的一个相关DLL的信息。比如，如果该PE文件从10个不同的DLL中引入函数，那么这个数组就有10个成员。该数组以一个全0的成员结尾。下面详细研究结构组成: IMAGE_IMPOR

这节是最后一节了，其实PE格式里面还有很多东西，比如资源，也是挺复杂的一个东东，不过我对它不感兴趣，写点儿自己感兴趣的东东吧――PE 文件的基底重定位（Base Relocations）。前面我们说过了每个模块有一个优先加载地址ImageBase，这个值是连接器给出的，因此连接器生成指令中的地址时是在假设模块被加载到ImageBase的前提之下生成的，这样一来一旦模块没有按照预期的加载到Image

2008.4.9 1、修改了 第4节.前言，补充了关于图象库SDK与CEGUI的关系，添加了DX9.0C SDK的连接 2、修改了 第4.2.1.2节，补充了 两个项目之间的依赖关系。 2008.4.12 1、修改了 第1节 前言，补充了关于DX9的相关信息。 2、修改了 第4节 前言，补充了关于 找不到d3d9.h之类的一系列错误。 ----------------

本篇开始介绍一些调试技术。需要读者很清楚地了解Windows系统。一、本地API钩子原理API钩子是这样的东西：它通过修改程序代码，使得程序能够在进行某一项系统调用前，执行一段特定的代码。尽管钩子常用于远程(跨进程)操作，但本地API钩子也有很重要的意义。比如，分别在GetDC和ReleaseDC两个API上设立钩子，使得GetDC时使一个全局量count(初始为0)增1，ReleaseDC时使c