_KaQqi的博客

没有摘要

我们在写一些程序时，有很多地方我们是无法知道数组的大小，可还要用数组。。这样就很让人郁闷。。

这个只是对动态数组的应用

#include int main(void){ LPSTR text="Unicode 测试"; wchar_t textW[256]; MultiByteToWideChar(CP_ACP,0,text,-1,textW,strlen(text)); MessageBoxW(NULL,textW,NULL,MB_OK); return 0;}

程序使用API SetUnhandledExceptionFilter 来注册一个未处理异常的函数1，如果进程没有被调试，那么会触发一个未处理异常，导致操作系统会将控制权交给函数1。如果进程被调试，则调试器会捕捉这个未处理异常。这样，我们的函数1也就不会被执行了。这里在触发异常时，则是跳回原来的代码来执行，而不会退出程序。UnhandledExceptionFilter 这个函数修改了EI

用C语言写的小软件 大神勿喷

很多时候，我们都需要设置剪辑版中的文本。比如写一个刷屏器什么的。

这个感染方式和win9x时代的CIH病毒感染方式很像。。。这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要，改了就完蛋了。。。别的几乎用不到所以修改DOS头的话，只要不修改首尾字段，几乎不会影响程序的运行。

PS：我也是菜鸟，有什么不对的地方欢迎大牛拍砖。使用Retn指令调用API的好处就是：在OD中对你用Retn调用的API下断点时，不会显示API调用地址。

哈 学了几节PE格式，写了一个这玩意（还有一个PE信息查看的 没写完呢）需要的基础知识：只需要一点点的PE结构基础就可以了参考小甲鱼老师的PE结构详解（听懂其中前三节左右）

代码虚拟化：我认为代码虚拟化是将native转换为字节码，但是字节码是不能被机器识别的，所以就需要有对应的解释器来解释他。因为字节码是我们定义的，所以一般的工具不能正确的识别它。就因为这样，虚拟机保护的代码比较难以识别破解，但是解释器一般情况下都是native 因为这样才能使解释器运行起来并解释字节码。

为了加深对PE文件的理解，以及和进程有关的WIN32 API的应用，就做出了这么一个东西。DUMP的话只需要DUMP出DOS头 + PE头 + 区块即可。#include "stdafx.h"typedef struct { WORD e_magic; char Data[23 + sizeof(DWORD) * 3]; LONG e_lfanew;}Dos,*pDos;int

我觉得，比较图片直接比较图片的二进制码就可以了。因为如果二进制码改变了，这个图片一定会改变的。不过改变的是什么我们就不用管了。比如画质什么的。 也可以用像素比较。不过。。。。。。。唉，一直没思路

原理已经说过了，不想再说了。其实用API备份修改硬盘那么复杂。。。我只是想说：库函数也可以打开硬盘。。。。。

有的时候，我们需要将数据加密，来保护自己的数据

C语言中清空文件的方法很简单。只要以 可写 的方式打开文件，就能将这个文件清空

这个是我使用API写出来的小软件 不支持带有空格的标题

CPU一共有四种权限级别：ring0 ring1 ring2 ring3Windows只是用了ring0和ring3我们在使用电脑时，一般在ring3模式下工作。在ring3模式下，我们无法使用CPU特权指令in和out。对系统所属的数据，地址空间以及硬件也是有严格的限制的。

有的时候，我们写程序时，需要读取文件的内容。

我记得学C语言没几天 刚接触到一个头文件的时候，我就心血来潮，写了一个CMD 其实，实现起来还是很简单的

这个只是根据昨天的清除CMOS密码的驱动程序对应的一个SDK

其实 keybd_event 这个API的模拟按键需要按键码，如果用户输入一个字符，怎么用这个API打印出来呢？

新手写的，大牛勿喷。。。以后会一直更新

DLL劫持技术不想再说了，具体的可以百度。。。。先简单的说一句。。。运行一个PE文件，WINDOWS会首先在当前目录下寻找要用的DLL，如果找不到就上其他地方找，一直到系统目录。。。然后想干嘛就干嘛了。。。首先得伪造，别告诉我随便找个PE文件然后改一下名字就是伪造了。。。。怎么伪造呢？当然是伪造导入表。

学完了指针，该学字符串了，不过突然心血来潮，就写出了这个东西大牛飘过。。。