- 博客(16)
- 收藏
- 关注
原创 KTHREAD的结构
_KTHREAD +0x000 Header : _DISPATCHER_HEADER +0x010 MutantListHead : _LIST_ENTRY +0x018 InitialStack : Ptr32 Void +0x01c StackLimit : Ptr32 Void +0x020 Teb
2008-10-28 23:27:00 1171
原创 再谈Windows NT/2000环境切换
再谈Windows NT/2000环境切换责任编辑:admin 更新日期:2005-8-6线程是Windows NT/2000环境切换的最基本单位。在>(Nsfocus Magazine 12)一文中,我只对进程CR3切换进行了较详细的讨论,但未涉及线程调度的内容,本文将尽量讲述这些部分内容。在这之前,还是先看看以下的代码: //--------------
2008-10-28 10:48:00 423
原创 ETHREAD 结构
每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHREAD 结构定义如下kd> !strct ethread!strct ethreadstruct _ETHREAD (sizeof=584)+000 struct _KTHREAD Tcb+000 struct _DISPATCHER_HEADER Header+000 byte Type+001 byte Ab
2008-10-28 10:36:00 1612
原创 取KTHREAD
805c5b9f 64a124010000 mov eax,dword ptr fs:[00000124h] 805c5ba5 8945c4 mov dword ptr [ebp-3Ch],eax ;取KTHREAD保存到变量中
2008-10-28 10:33:00 398
原创 线程调度的监视
作者:pjf(jfpan20000@sina.com)出处:http://www.blogcn.com/user17/pjf/blog/4331410.html日期:2004-11-05文摘出处:https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=41969 接着上次的小话题说。 上次提到因为想要无需硬编码的方案从而未选用SwapCont
2008-10-28 10:26:00 378
原创 编写进程/线程监视器
创建时间:2003-03-21文章属性:原创文章来源:http://www.whitecell.org文章提交:sinister (jiasys_at_21cn.com)编写进程/线程监视器Author : sinisterEmail : sinister@whitecell.org HomePage: http://www.whitecell.org (首先说明一下。有不少朋友来信问一些进
2008-10-28 10:24:00 370
原创 枚举隐藏进程 PspCidTable实现法
#include #include #include "ListProc.h"/*ListProc.h的内容#pragma once//记录进程信息的结构体ProcessInfotypedef struct PROCESS_PROC {ULONG addr; //进程地址(对象(体)指针) int pid; //进程
2008-10-28 10:12:00 1017
转载 枚举隐藏进程hook SwapContext线程调度法
PBYTE GoBackAddr = NULL;PBYTE ChangAddr = NULL;PBYTE CallContextAddr = NULL;DWORD CallContextOffset = 0;
2008-10-28 10:09:00 1005
转载 NT 内核的进程调度分析笔记
文章作者:sinister信息来源:白细胞Author: sinisterEmail: sinister@whitecell.orgHomepage:http://www.whitecell.org Date: 2005-11-162005-2-15众所周知 nt kernel 是多任务抢占试方式运行的,在非 SMP 系统上,每个进程分配特定的CPU 时间片来达到执行目的,这样看上去就象多
2008-10-28 10:04:00 350
原创 TCP实现P2P通信、TCP穿越NAT的方法、TCP打洞
这个标题用了两个顿号三个名称,其实说得是同一个东西,只是网上有不同的说法罢了,另外好像还有人叫TCP打孔(我的朋友小妞听说后问“要打孔啊,要不要我帮你去借个电钻过来啊?”“~!·¥%……·!”)。 闲话少说,我们先看一下技术背景:Internet的迅速发展以及IPv4 地址数量的限制使得网络地址翻译(NAT,Network Address Trans2lation)设备得到广泛应用。NAT设
2008-08-05 22:08:00 293
转载 C/C++里边如何获得系统时间
ms级: #include GetTickCount() ns级: #include QueryPerformanceFrequency() cycle级unsigned int timehi , timelo; __asm{ rdtsc mov timehi , edx; mov timelo , eax; } return ((int __in
2006-03-04 12:59:00 822
原创 sniffer技术原理及应用,包括编程方法和工具使用(三)
sunxufei:哦,交换机是以MAC地址进行交换的,不是IP那一层的,要IP已经路由器了现在交换机便宜了,因此以后你想用sniffer抓密码概率不大了,不过还能多公司仍然是交换机和H UB一起用的,这样小范围内是有效地,至于ADSL CABLE FTTB,我的FTTB是用华为设计的设备,呵呵,不仅仅工网IP,只有我和交换机两个MAC(这次中国人干的不错),没希望找到第三者,很安全,但不都这样安全
2006-01-07 21:21:00 2925
原创 http://htm.winsteps.net/program/index3.htm
http://htm.winsteps.net/program/index3.htm
2006-01-07 20:52:00 615
原创 一个简单的tcp filter的例子
这两天版面日渐萧条,我只好硬着头皮把我自己的一个尚在开发,非常不成熟的东西拿出来了。 前面我曾经就网络加密这个议题讨论过,那个时候我提出的方法是imd,9x下就是利用hook_device_service,用这些方法的一个好处就是,接收数据比较低层,直接得到的就是mac数据,而且可以知道是哪块网卡上来的,而且,可以加密各种数据帧,ipx,ip什么的都不在话下。因为我所遇到的加密环境和要求,几
2006-01-07 20:50:00 724
原创 win2000进程虚拟内存数据搜索与修改
Windows2000下用户模式的内存扫描[转帖] Sprite简述: 本文简要介绍了在Windows2000下实现内存扫描的基本理论和实现的办法。内存扫描是一项重要的技术,有相当广泛的应用范围:如病毒扫描、游戏修改等。Windows2000是一个完全保护的系统,且具有两种工作模式,即用户态和核心态(User Model and Kernel Model)。内存扫描也可分为用户
2006-01-07 20:37:00 273
原创 枚举全局钩子
首先强调一点,本文给出的代码只在 WinXP+SP2 下测试通过,使用其他系统的朋友最好看懂代码,然后调试运行。如果不巧系统蓝屏可不要找我哦。:) 鼠标钩子、键盘钩子等大家一定是耳熟能详,在 Windows 环境下编程的朋友们肯定都和他们打过交道,比如说截获密码什么的都可以用到他们。本文将介绍一种办法可以枚举所有的全局钩子,找到到底是什么动态库创建了钩子(大部分全局钩子都需要通过动态库来实现
2005-06-25 18:16:00 672
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人