lygl35的博客

原创 PR AE安装成功后启动卡死的解决

解决方法：删除 C:\Users\Administrator\Documents 目录下面的 Adobe 文件夹。2、 AE启动后卡死，提示“无法找到用户文档目录”解决方法：关闭勒索软件防护。1、 PR 启动后卡死。

原创 汇编语言字符串操作指令movs，和逻辑段寄存器【学习笔记】

movs 移动字符串的意思，后面的s是 string字符串简写movsb 表示每次移动一个字节movsw表示每次移动一个字，就是两个字节movs指令第一步，CPU自动将DS:SI第一字节内容放到ES:DI第二步，CPU自动将SI 和DI加或减1（字就是加或减2），DF标志位0时自动加，DF标志位1时自动减，也就是自动把地址变下一个地址https://www.bilibili.com/video/BV1ZJ411b7Na?p=19&spm_id_from=pageDriver19集

原创 栈的学习笔记

栈：先进后出push ax步骤：1、SP指针先减22、AH数据放高地址3、AL数据放低地址pop 是反向操作来源：https://www.bilibili.com/video/BV1ZJ411b7Na?p=17&spm_id_from=333.1007.top_right_bar_window_history.content.click微机原理 （西安电子科技大学） 17集...

原创 c++ 命名空间 namespace【学习笔记】

c++ 命名空间 namespace 主要是为了解决名字冲突的问题相同的函数在两个类里面是没有冲突的，函数可以看成不同对象的成员如果要解决类名相同就需要使用命名空间了命名空间的使用方法定义在不同命名空间的 全局变量，函数，类名都可以一模一样实例两个命名空间定义了完全一样的函数和变量使用定义好的命名空间【名空间的名字】 +【::】+【函数或变量】变量的使用变量的使用函数的使用创建类调用独立文件使用命名空间的方法（本质是一样的）.h定义部分.cpp 实现部分

原创 MFC初始化过孔【学习笔记】

mian 函数之前已经运行了类的构造函数

原创 手动编写一个MFC【学习笔记】

MSDN 索引Hierarchy chart 可查询MFC层次结构设置静态链接库包含头文件自己创建的头文件自定义一个类 派生于 CWinApp(这个自定义类每个应用程序只能有一个)覆盖虚函数自定义一个派生于CFrameWnd的类定义一个构造函数重新虚函数构造函数里面创建窗口...

原创 windows注入代码【学习笔记】

代码实现参数的结构体编写一个需要复制到目标进程的函数远程创建文件JMP 下一行的代码地址+偏移21 就是要跳转的地址创建远程线程执行

原创 windows 模块隐藏【学习笔记】

TEB、PEB是3环的结构体TEB的结构PEB 的结构

原创 windows进程间的通讯【学习笔记】

同一台电脑上两个进程的通讯本质上就是共享内存，一块数据两个进程共享。如果两个进程不在同一台电脑上就需要通过网络进行连接，也就需要使用SOcket套接字的方式进行通讯获取PID函数根据进程的名字得到当前进程的PID命令队列写入DLL的共享内存卸载模块把当前DLL模块从进程空间里面卸载掉，并且这个线程也会退出...

原创 windows远程线程注入【学习笔记】

远程注入要满足两个条件例如A进程调用B进程1、这个被调用的函数在B进程。2、B进程这个被调用函数的格式是：一个返回值，一个参数四个字节远程注入的思路封装一个函数loadDLL远程注入实现过程第一步：获取进程句柄第二步：计算DLL路径字符的长度，目的是在目标进程分配一块空间，把这个路径写进去第三步：在目标进程分配空间，VirtualAllocEx可以在指定的目标进程分配空间。第四步：向目标进程写入DLL的路径，通过WriteProcessMemory可以向其它进程写入数..

原创 windows 远程线程【学习笔记】

创建远程线程函数：CreateRemoteThread,允许你在别的进程里面创建线程。自己定义一个函数1、获取进程句柄2、创建远程线程 CreateRemoteThread注意类型3、关闭资源4、调用一个exe调用，另外一个exe执行...

原创 windows DLL的入口函数DllMain【学习笔记】

文档有详细介绍入口函数可能会被调用多次实例代码1：判断两种情况实例代码2：判断三种情况实例代码3：判断四种情况exe的Mian与Dll的DllMain 入口函数的区别1、MIan只执行一次，直到结束；DllMain执行多次2、参数不一样。...

原创 windows隐式链接，dll隐式调用【学习笔记】

准备：DLL 和LIB 文件第一种通过DEF dll的def文件导出配置导出函数的声明第二种 通过extern 导出，导入的时候也要加extern隐式链接需要DLL 和lib文件静态库与动态库的LIB文件的区别：1、静态库里面的LIB文件包含的是正在的代码2、动态库里面的LIB文件不包含任何一行代码，只包含一些辅助信息，用隐式链接必须用到LIB里面的辅助信息，要根据这些辅助信息来找到真正的函数在哪里。第一步：DLL 和 LIB 放到项目文件夹里面，也可以通过配置放在其它位置，参考前.

原创 windows 动态链接库DLL【学习笔记】

创建动态链接库有两种导出函数方式第一种方式添加头文件和代码修改函数的声明修改后导出表里面可以找到这两个函数第二种方式添加def文件def文件格式导出后使用动态链接库完整调用过程...

原创 windows 静态链接库【学习笔记】

创建静态链接库生成两个文件，一个 .LIB 一个 .H使用静态链接库两种使用方式：第一种方式 ：放在自己项目目录添加头文件到项目包含库文件第二种方式.h头文件 放到 Include目录lib文件放到 Lib目录在软件里面设置库模块代码里面包含 头文件就可以了...

原创 windows内存映射文件【学习笔记】

第一步：先创建一个文件，获得文件句柄第二步 创建文件映射对象第三步 映射到虚拟内存lpAddr 就是当前虚拟内存的地址第四步 使用虚拟内存地址，进行读写操作

原创 windows文件系统常用API【学习笔记】

文件系统的定义创建文件获取文件长度获取文件属性和信息读取文件写入文件

原创 windows 共享内存的申请与释放【学习笔记】

共享内存多个进程都可以访问，又称为映射内存创建共享内存需要的函数：第一步：CreateFileMapping ：准备物理内存（物理页），可以把一个文件映射到具体的物理页上。这个函数执行完了后，需要的物理页已经准备好了，但是这个物理页与当前的进程还没关联。第二步：MapViewOfFile: 把准备好的物理页与进程关联起来第一个参数是文件句柄，如果不需要映射到文件，可以填无效的文件句柄，值是 -1用完后的处理另外一个程序可以使用这个共享内存，通过MapViewOffile来控制程

原创 windows私有内存的申请与释放【学习笔记】

内存物理页分为两类1、自己私有的 Private Memory2、与其它进程共享的 Mapped Memory申请内存只有这两种方式VirtualAlloc 只能在自己进程申请私有内存，VirtualAllocEx可以给其它进程申请内存申请私有内存函数：定义一个变量接收返回值释放虚拟内存 VirtualFreec语言里面的申请内存 malloc 和C++里面的new,都是从已经申请好的内存拿出一块出来使用，这块内存是操作系统自动用VirtualAlloc申请好的,无论是堆，栈

原创 windows虚拟内存与物理内存学习笔记

（物理页并不是实际内存条的地址，它与内存条实物之间还有一层映射）虚拟内存空间使用情况查询这个成员记录的就是当前虚拟内存空间哪些被使用了 ，4KB页为单位 10H*1000Hwindbg查物理内存大小查询出来的是物理页个数 ，4KB一个页暂时没有用到的会放到系统的虚拟内存，不会分配物业页。操作系统底层自动操作...

原创 windows 子窗口控件学习笔记

子窗口控件查找子窗口类型方法

原创 windows消息类型学习笔记

能产生消息的四种情况：1、鼠标2、键盘3、其它的应用程序4、操作系统的内核程序操作系统会为每个消息定义了独一无二的编号在结构体MSG的第二个成员 UINT 里面。回调函数 第三和第四个参数是说明消息详细类型的，类容由具体消息决定的，第二个参数是消息类型，都是内核传进来的TranslateMessage把键盘按的虚拟码转换为字符，然后就可以用 WH_CHAR接收消息，否则接收不到。完整的消息处理函数模板...

原创 第一个WINdows程序（海哥）学习笔记

入口函数HINSTANCE类型 指向一个模块的句柄，就是一个内存地址。真正的对象在0环，它只是一个DWORD类型的索引，里面存储一个编号，句柄有各做名称是为了区分它们。hInstance 参数是在整个进程空间这个EXE的内存地址是多少进程都是有CrateProcess创建的，入口函数的参数也是这个函数传过来的调试信息的输出创建窗口的步骤...

原创 Win32 API中的宽字符 学习笔记

TCHAR 是一个宏，当前项目默认是什么编码格式，在编译的时候就会转换为什么样的编码格式

原创 windows消息队列学习笔记

一个线程一个消息队列，消息队列是与线程相关的windows系统先捕获到动作（键盘输入，鼠标点击等），生产消息对象（结构体），然后把这个消息对象放到相关进程的线程消息队列（7个链表）里面。一个线程可以有很多个窗口，但是一个线程只有一个消息队列，这是一对多的关系...

原创 windows事件学习笔记

事件可以作为通知类型来使用，通知类型可以使两个线程同时运行第一个参数是安全描述符，只要是内核对象都有这个参数第二个参数设置为TURE就是通知类型，FALSE就是互斥体CreateEvent第三个参数是FALSE就是没有信号，没有信号时线程跑到waitForSingleObject就会阻塞，就是不往下执行了可以通过 SetEvent 把事件修改为有信号创建事件线程同步同步=互斥+有序互斥本身是无序的，变成有序的互斥就是同步SetEvent本质就是挂起自己，通知别人执行.

原创 互斥体学习笔记

互斥体解决跨进程共享资源的问题

原创 临界区学习笔记

第一步，创建一个全局变量第二步 初始化全局变量第三步 实现临界区（就是把需要读写操作的全局变量包含在临界区里面）

原创 线程控制学习笔记

挂起与恢复线程如果挂起两次，需要恢复两次才会执行等待一个线程等待多个线程获取线程结束的返回值获取线程上下文（寄存器等信息），在线程挂起的时候才能获取还可以通过 SetThreadContext 修改线程上下文，恢复执行时会按修改后的运行...

原创 创建线程学习笔记

线程就是当前实际正在运行的代码，是动态的。真正关闭内核对象，所有打开的句柄都关闭（打开计数器为0）并且线程代码执行完毕，同时满足这两个条件内核对象才正在关闭开启多线程不带参数和返回值的函数传参数到线程传进来的参数转换为自己需要的类型传参的时候强制转换为系统要求的类型注意传的参数的生命周期要比线程长，否则会出问题。例如父函数栈回收后，线程还在执行，是否会影响到传入参数的值...

原创 进程PID相关API

操作系统有一张全局句柄表，里面包含了所有进程和线程，这就是PID,相当于全局变量，所有进程都可以看到已挂起的方式创建进程，系统不会自动执行这个进程

原创 句柄表笔记

1.什么是内核对象句柄表是进程私有的，每个进程都有自己的句柄表，句柄的值只对自己的进程才有意义。

原创 windows进程创建的过程

windows进程创建的过程的细节进程创建后的分布图

原创 微机原理 （西安电子科技大学-周佳社老师）学习笔记

1-4 绪论（四）5-12 数制与码制（八）13-23 8086结构与功能（十一）24-64 8086指令系统（四十一）65-70 汇编语言程序设计（六）71-79 总线及其形成（九）80-88 存储器系统设计（九）89-94 常用芯片的接口技术（六）95-99 中断系统与可编中断控制芯片8259A100-107 可编程并行接口芯

原创 windbg常用命令

1、!process 0 0 （查看所有进程）2、dt _EPROCESS 8710da00 (查看当前进程的结构体)2、dt _HANDLE_TABLE 0x8d7fc818 （查看内核对象句柄表）3、dd 0x98609000 （当前进程句柄表，一个句柄对象是8个字节）内核对象句柄/4=内核句柄地址在句柄表的索引...

原创 本机端win10系统的Windbg+VirtualBox双机调试环境配置(XP+win732)

一、配置Win XP虚拟机调试直接修改c盘下的boot.ini文件，增加debug启动方式multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Debug XP” /noexecute=optin /fastdetect /debug /debugport=com4 /baudrate=115200其中debugport=com4为virtualbox设置的串口com4将Windbg的快捷方式目标改为：K:\WinDDK\7600.16385.0\Debug

原创 windows系统（微软编译器）常用的调用约定

原创 保护模式相关知识点（段寄存器，段选择子、GDT表、页等）

GDT段选择子知识点1、 段选择子的RPL与GDT的DPL进行比较，进行权限检查。在保护模式下 mov ds,axax 里面的RPL权限大于或等于GDT表的DPL才会成功2、段描述符是64位，段寄存器是96位，其中16位是段选择子，另外80位通过64的的段描述符转换后获得。3、...

原创 计算机相关英文缩写解释

DB-- Declare(声明) Byte（字节）DW-- Declare Word(字)DD-- Declare Double(双) WordDQ-- Declare Quad(四) Word

原创 《x86汇编语言-从实模式到保护模式》 知识点快速查询

NASM 编译名格式