![](https://img-blog.csdnimg.cn/direct/12b7609f9ad243b3abdacc6031147f65.jpeg?x-oss-process=image/resize,m_fixed,h_224,w_224)
业余学习
文章平均质量分 76
杂项:临时写,格式整理就比较乱咯
涟幽516
Those who cannot remember the past are condemned to repeat it.
展开
-
实现组件存储 WinSxS 文件夹解析
WinSxS 组件存储文件夹中的文件目录比较复杂,有些时候需要枚举或者检索目录中某个组件的特定版本的副本会很麻烦。在这篇文章中,我将提供一个解析组件存储文件夹的初步程序。包括相关测试示例。原创 2024-07-12 18:30:25 · 827 阅读 · 0 评论 -
DWM 相关实现代码 [自用]
一些草稿......原创 2024-07-08 16:20:31 · 339 阅读 · 0 评论 -
Mujava 工具的简单使用
首先下载openjava.jar和mujava.jar,以及自己手写一个mujava.config指向存放mujava的目录,并将这些文件放在mujava目录下。此时,基本的mujava环境就搭建好了。图 3 BubbleSort传统变异结果。图 4 BubbleSort类变异结果。图 2 BackPack类变异结果。图 6 BubbleSort杀死率。本文发布于:2024.05.25.图 5 BackPack杀死率。原创 2024-05-25 12:33:57 · 352 阅读 · 0 评论 -
解决从网页复制代码带有多余行号问题
我们在 Web 上找到一份很好的教程时,往往喜欢复制或者保存他人提供的代码。但是,有些网页带有自动编号功能,这会使得复制的文本处理起来比较麻烦。我们观察到每一行左侧都有行号的编号,我们在复制到 txt 中时候,会出现多余行号和前缀空格。目前此程序适用于处理标准的 Java 代码,是否有特殊情况导致出错的我暂时还没遇到。这时候,我想到了写一个脚本去自动化处理。运行这个脚本并输入要处理的文件以及输出文件路径。我们不需要这样,但是手动去除会很麻烦且容易出错。我们看一下生成的效果,非常棒,我也很喜欢。原创 2024-03-23 13:24:13 · 416 阅读 · 0 评论 -
检测虚拟机环境的常见技术
本文介绍常见的检测虚拟机环境的技术原创 2024-03-10 21:24:49 · 453 阅读 · 0 评论 -
获取 Windows 通知中心弹窗通知内容(含工具汉化)
从 Windows 8.1 开始,Windows 通知现在以 Toast 而非 Balloon 形式显示( Bollon 通知其实现在是应用通知的一个子集),并记录在通知中心中。到目前为止,为了检索通知的内容,您必须抓取窗口的句柄并尝试读取它的文本内容,或者其他类似的东西。原创 2024-03-03 23:38:12 · 1567 阅读 · 0 评论 -
【翻译】使用通知监听器 API 获取 Windows 通知中心的内容
从 Windows 8.1 开始,Windows 通知现在以 Toast 而非 Balloon 形式显示,并记录在通知中心中。到目前为止,为了检索通知的内容,您必须抓取窗口的句柄并尝试读取它的文本内容,或者其他类似的东西。特别是在 Toast 可用之后,这样做变得很困难,但从 Windows 10 Anniversary Edition (10.0.14393.0) 版本开始, MS 实现了“通知监听器” API(),允许您以与获取 Android 通知相同的方式获取 Windows 通知。翻译 2024-03-03 17:15:48 · 206 阅读 · 0 评论 -
Windows 使设置更改立即生效——并行发送广播消息
在 Windows 上使得设置的更改立即生效的方法不唯一。本文分析全局发送 WM_SETTINGCHANGE 消息来通知系统设置发生更改这一方法。该方法适用范围比较广泛,但有时候还是需要结合 SHChangeNotify 等函数来刷新更改,甚至还有一部分设置更改就只能重启计算机生效。原创 2024-02-19 18:50:23 · 1315 阅读 · 0 评论 -
使用 WMI 查询安全软件信息
WMI 是 Windows Management Instrumentation 的缩写,是微软提供的用于管理Windows 系统的一种技术。它提供了一种标准的接口,允许开发者通过编程方式获取和操作 Windows 操作系统的各种信息,包括硬件、软件、网络配置等。WMI 是基于CIM(Common Information Model)标准的实现,它使用了面向对象的方式来组织和表示系统的信息。通过使用 WMI API,我们可以方便地查询和管理 Windows 系统的各种信息。原创 2024-02-07 21:30:59 · 1048 阅读 · 0 评论 -
浅析一款非驱动考试网关程序(一)
监考程序需要对网络流量进行过滤,不允许除了考试网站以外的其他网站的访问。其实就是实现了一个小型的网关程序,一般地有驱动实现和非驱动实现两种方式。本文只针对一款简易的非驱动实现的监考程序进行分析。注意:本文通过对某考试监考网关客户端程序的逆向分析研究,节选其中断网的实现过程进行讲解。原创 2024-02-06 20:10:31 · 764 阅读 · 0 评论 -
R3下 API 挂钩监视右键管理员权限启动
以前的操作系统上,挂钩 CreateProcessInternel 即可监视进程创建,在 以管理员身份启动的时候,情况发生了变化,我们的 explorer 不再调用原来的路径,而是使用一个未被导出的函数 AicFindLaunchAdminProcess。我们只需要根据特征码定位该函数的入口点,并挂钩该函数,即可监视资源管理器中,那些以管理员身份启动的程序。原创 2023-10-24 22:35:29 · 119 阅读 · 0 评论 -
利用 ZwCreateThreadEx 注入 DLL
PROCESSENTRY32W 结构体中的 cntThreads 包含进程的线程计数信息,崩溃的进程没有主线程,于是,可以加上这个条件来过滤。我们可以采取很多方法来注入 DLL 比如较新的早鸟(EarlyBird)技术,就是利用 APC 配合未公开函数进行劫持注入。需要注意的是我们可能遇到内存中已经崩溃的进程,这种时候会导致注入器不断尝试注入过程,但始终失败。我们常常使用进程名作为特征,遍历进程的 PID 以及句柄,然后执行注入过程原创 2023-10-09 18:09:30 · 624 阅读 · 1 评论 -
根据 PDB 文件分析 DLL 内部符号的地址
最近遇到给定一个 DLL 文件,但是想快速定位内部函数(没有导出)的地址,想到 Sym 系列函数可以实现根据已知的 PDB 调试符号数据库直接分析出函数的地址,参考了 MSDN 可以知道我们需要依次调用如下函数......原创 2023-10-09 17:37:17 · 248 阅读 · 1 评论 -
SetParent 函数修改父窗口的误区
所以,在设置父窗口前,一是:如果窗口是POPUP窗口,应该去除WS_POPUP属性,并手动添加WS_CHILD属性;二是,如果窗口线程的DPI设置不相同,则应该首先同步DPI设置,然后再调用SetParent;我们可以通过将SetParent的第二个参数设置为NULL,并在调用前去除WS_CHILD属性,在调用后根据记录选择是否恢复WS_POPUP属性。那么,如何取消设置父窗口呢,我们发现即使再次调用SetParent,指定窗口仍然在最找设置的父窗口上。,并且窗口以前是桌面的子级,则应在调用。原创 2023-10-05 17:10:11 · 1262 阅读 · 0 评论 -
C语言实现遍历PE文件导入表
C++ 编程实现遍历PE文件导入表,可以遍历延迟导入的函数原创 2023-09-16 23:31:06 · 226 阅读 · 1 评论 -
修改 Windows 文件访问权限的多种方法
由于文件是安全对象,因此访问它们受访问控制模型控制,该模型控制对 Windows 中所有其他安全对象的访问。更改文件或目录对象的安全描述符,需要调用或等函数。ACL,用来表示用户(组)权限的列表,包括 DACL和 SACL;ACE,ACL中的元素;DACL,用来表示安全对象权限的列表;SACL,用来记录对安全对象访问的日志。关于这几个概念已经有很多资料解释,这里就不详细展开了。(以下仅介绍通过Win32API修改文件安全属性的一些内容)。原创 2023-08-23 21:52:13 · 7434 阅读 · 6 评论 -
通过API Hook获取R3下进程创建信息的一种较新的方案
APIHOOK R3 注入拦截进程,支持管理员身份提权的信息拦截。原创 2023-05-29 00:54:01 · 399 阅读 · 3 评论 -
Dll注入过滤任意Windows控制台命令行输入
命令提示符也就是命令行控制台,新版本也叫做Windows 终端。如何做到当命令被输入控制台窗口后能够做到过滤呢?其中,有一种就是键盘钩子判断键盘输入,但实用性可能不高。另外一种方法就是获取控制台缓冲区的文本,了解用户接下来要使用那种指令,然后对其进行相应的过滤。上面的图片展示了本节我们要实现的命令拦截效果。我们甚至只需要过滤具有特征性的参数调用。首先我们需要明白的是,无论是新版还是旧版控制台(兼容性)他的控制台缓冲区数据都是在一个名为cmd.exe的进程中完成的。原创 2023-01-29 21:10:53 · 708 阅读 · 2 评论 -
【UACME】在Win11上的发展
(1)在Win11(22H2 22621.1105最新发布版)上,有些方法已经被修复,现在还能够在裸机上绕过UAC的方法序号为:33 41 43 53 59 61 62 70 73。在AV机器上,COM组件提权会被AV的Hook拦截,绕过方法为:被闲置的COM组件调用在恢复时会被过滤掉,***;注册表修改绕过UAC也会被AV查杀,绕过注册表监控的方法就是****。方法:在操作前关闭资源管理器,这个消息不是由安全与维护(操作中心)发出的,而是explorer自身发出的。原创 2023-01-14 22:22:07 · 584 阅读 · 0 评论 -
Visual Studio 修改安装时提示路径访问被拒绝解决方案
对路径“\...\microsoft\visualstudio\...\extensions\extensions.configurationchanged”的访问被拒绝。4.如果还没解决,可能是以下情况:1)杀毒软件如卡巴斯基正处于高级清除模式,此时禁止磁盘写入和内存访问操作。打开被拒绝的文件路径,找到该文件,右键属性>安全>高级>1)更改所有者为当前用户目录>2)为当前用户账户添加完全访问权限。右键相关文件,查看是否被标记只读属性,如有有,取消勾选即可。2.非NTFS文件系统,被设置了只读属性。原创 2023-01-07 22:24:06 · 6820 阅读 · 1 评论