OSReact的专栏

QQ2011低级键盘钩子分析004DF8B1    55              PUSH EBP004DF8B2    8BEC            MOV EBP,ESP004DF8B4    81EC 98000000   SUB ESP,98004DF8BA    C745 FC E8F24D0>MOV DWORD PTR SS:[EBP-4],4DF2E800

抛砖引玉,说说我干的勾当,干过类似坏事情的各位也说说去年玩弹弹堂,问题技术不行,所以想写个弹弹堂外挂.弹弹堂是一款类似疯狂坦克的游戏,通过调节发射炮弹的角度和力度,把炮弹打到敌人的位置,把敌人打死或者击落,游戏很简单,随机的参数也只有风力一个,查询了下网上的一些资料,发现大家很多是使用一些很简单的截图,测量距离,计算,而参数的获得一般是采用图像识别的方法,使用这些办法,比较的原始,基本

现象：每次VirtualBox启动后，然后关闭，进程管理器里面居然还有，死活退不出去！！！你知道，向我这种经常搞windbg调试的人，怎么受得了啊~~每次都去进程管理器杀VirtualBox进程搞得我对VirtualBox印象很差啊！！！今天我实在受不了了，我决定看一下，到底发生什么原因了：1、开启VirtulBox，然后点退出，界面是关掉了，但是打开进程管理器，果然还

Intel vt技术十分诱人，但是如何调试vt程式却是让人头疼，让钱包心痛的问题，在走了各种弯路后，终于摸索出一套简单易懂又省钱的vt调试方法。如果你有比我更好的方法请第一个告诉我哟！！！准备工作：首先你需要安装以下程式：1. vmware(版本6.0-7.1)2. ida(不一定用得到)3. windbg(也不一定用得到)4. 自行编译一份带vt的bochs(版本2.

这几天想了解下神秘的进程csrss，在学习和了解的过程中就写下了自己对csrss进程的理解。   Csrss（客户端/服务器运行时子系统）是 Win32 子系统的用户模式部分，在桌面管理、终端登录、控制台管理、错误报告报告和DOS 虚拟机等方面起着重要作用，另外还监控着系统内所有Win32 子系统进程和线程的运行，进程的创建与退出，都需要通知Csrss。  图1是用内核工具xuetr观察C

我自持也写了XX行的代码，调试经验也不可谓不强大笑。但是最近遇到的这个bug，却着实让我头疼了一会...错！不是一会，是3天啊！    具体是这样的，在开发windows下的gdb GUI调试环境时，使用thread PIPE与gdb mi接口交互，在winodows 7下编写代码。上周五突然遇到一个问题:就是程序运行着就会突然崩溃。马上用ollydbg作为系统默认活动调试器，在崩

最近心血来潮，想起了以前有个东西叫做家园2，随即下载下来准备回味一番。结果却在搜索中发现与vista和win7不兼容。　　按照网上的方法左试右试发现还是没用，然后我愤怒了，打开了OD。　　载入运行，发现问题在这里：00400110    83EC 04         sub esp,4    00400113    50              push eax0040

发现大家对VMProtect这个壳比较害怕，所以找了个最新的版本分析了一下，发现他有很多垃圾指令，并且还使用了虚拟机保护，而且每个被他加壳后的程序，虚拟机的代码好像还不一样。如果要做VMProtect的自动脱壳机，应该是要先去掉垃圾指令，再重组指令，再自动识别虚拟机指令的含义，最后重组虚拟机代码，还原出加壳前的EXE。    看了一下VMProtect的垃圾花指令，其实是很有规律的，主要就是在