溡漪幽博客

使用 COM 枚举资源管理器打开的窗口

有时候需要我们程序向自身写入一些数据，以便于下次运行可以直接读取。当不使用配置文件（外部存储）时，应该怎么做？原理很简单：向 PE 新增一个节，然后向这个特殊的节写入数据。这也是很多奇奇怪怪的程序会用的玩意。花了点时间写了一个例子。运行后，程序首先检查是否具有特殊节区，如果有，直接读取数据。如果没有，则执行写入逻辑“AddSection” 最后执行 CreateBatchFileToReplaceSelf 使用隐身的批处理替换自身并删除副本。

通过对 WM_SETTINGCHANGE 消息的研究，已经发现 WM_SETTINGCHANGE 消息的 lParam 一般是需要指定为一个字符串的，并且字符串代表了需要系统范围内窗口应用程序（不包括驱动程序、网络驱动程序、系统级设备驱动程序或这些系统组件的任意组合）更改的具体配置设置。其他 Shell 有关更新消息可能通过 WM_COMMAND 其他消息参数或者 WM_USER 到 WM_APP 之间的特定消息值完成。桌面：WM_COMMAND + (WPARAM)0x7402。

Windows 桌面自定义WorkerW分层窗口脱离系统消息的使用，自定义分层窗口的部分功能，实现在桌面嵌入任意窗口。

【代码】【Windows】检查当前登陆用户是否需要密码。

本篇利用 hook NtQuerySystemInformation 并进行断链的方法实现进程隐身，实测支持 taskmgr.exe 的任意多进程隐身。可以删除 dllmain 里面的hook 函数以及所有输出字符串。从外部进程通过注入远程线程的方式来实现动态调整隐身策略。本文发布于：2024.10.02。在此前的一篇，我们已经介绍过了。

通过 RtlGetNtVersionNumbers 获取系统版本的方法可能不适用于所有情况，而且将要过时（被废弃）。下面介绍一种通过 WMI 查询并根据版本号进行划分的系统版本解析工具，其他方法还有通过注册表和通过文件属性等等。本文发布于：2024.09.17，修改于：2024.09.17。代码是很早之前写的，用的话需要自己优化一下。

在现代操作系统中，进程缓解策略（Process Mitigation Policy）提供了一种防御机制，可以防止潜在的攻击对系统中的进程进行利用。通过分析进程的缓解策略设置，开发人员和系统管理员可以更好地了解当前进程的安全状态以及应用了哪些安全措施。通过本文的介绍和代码示例，开发人员可以有效地获取和分析 Windows 进程的缓解策略设置。在 Windows 操作系统中，每个进程都可以设置多种缓解策略，这些策略可以增强系统安全性。警告：我们将在下一篇讲解如何远程修改部分安全缓解策略以及缓解策略的绕过技术。

桌面的切换检测，最简单的就是通过一个循环不断去获取当前活动桌面（ActiveDesktop），主要通过 OpenInputDesktop 来获取，然后分析桌面名称，当桌面切换到 Winlogon 桌面时切换线程并遍历桌面窗口，当桌面切换到 Default 桌面时，停止记录并保存日志；当执行任务时，具有窗口。首先，我们需要知道 Winlogon 桌面（登陆桌面，运行在控制台会话）和 Default 桌面（用户默认桌面，运行在 UI 会话）均是由 Winlogon.exe 所创建的。

Major （主要变异框架, The Major Mutation Framework）是一个高效、灵活的突变分析框架。主要突变框架提供了三个主要组件：（1）Major 变异器：Java 编译器 (javac) 的编译器插件；（2）Mml 配置文件：一种用于定制突变生成的 DSL（领域特定语言）；（3）分析器：一种可有效确定活突变体、突变体检测率或完整突变体测试矩阵的测试运行器；

MuJava 是初学者（研究向）常常会去使用的一个工具，也是 Java 软件测试的一个老牌工具。用于为 Java 代码生成变异体和运行单元测试。但是此工具已经有十年没有更新了，这款软件可以说现在已经不能够支持对主流软件框架运行测试。但是使用它进行简单代码的测试还是可以的。下面我将就我在研究中遇到的一些坑点和各位探讨一下。本人也是软件测试方面的一个小萌新，文章多有疏漏，尽请谅解。

WinSxS 组件存储文件夹中的文件目录比较复杂，有些时候需要枚举或者检索目录中某个组件的特定版本的副本会很麻烦。在这篇文章中，我将提供一个解析组件存储文件夹的初步程序。包括相关测试示例。

子类化是通过更改窗口过程来重新定义窗口的行为。要更改窗口过程，窗口过程应驻留在创建窗口的进程中。我计划通过注入子类化模块在不了解创建窗口的进程的情况下替换窗口行为。众所周知，注入是一个简单的 DLL，当 DllMain 被调用时DLL_PROCESS_ATTACH，我正在进行 Hack。这段代码很简单，首先我们要知道要注入到目标进程（injectee）中的 DLL（SubClassModule）的名字。因此，它必须写入目标进程的地址空间中。本文发布于：2024.07.10，修改于：2024.07.10。

一些草稿......

这是从零开始系列的第二节，在本节中，我们进一步讨论WorkerW窗口的功能，介绍桌面窗口创建的流程，同时讨论为什么在Vista上无法嵌入窗口。从零实现桌面动态壁纸（二）

接下来，将进一步分析 Ndr(64)AsyncServerCall(All) 函数的相关原理，从的角度对本地远程过程调用进行拦截。讨论 winlogon.exe 进程响应的一部分过程时所采用的 Ncalrpc 通信机制，通过( Hooking )注入代码来修改该线路上的( Key Points)，包括。

在 Win10/11 上有很多 UWP 进程，检测窗口是否最大化将迎来新的挑战。这些窗口以它不能够使用 Win32 的 IsWindowVisible 获取窗口可见性。必须使用 DWM API 来判断此类窗口的状态。