- 博客(30)
- 资源 (18)
- 收藏
- 关注
RSS订阅转载 有关遍历进程中句柄的方法总结
此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。 BOOL AdjustProcessPrivilege(HANDLE hProces
2013-11-30 10:23:39
3795
转载 关于“进程挂靠”
线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。 显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。 一般而言,如果线程T属于进程P,那么当这个
2013-11-21 12:59:48
4960
转载 说说猎豹安全浏览器
最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析了一下。1.猎
2013-11-21 12:58:36
1942
转载 windows 可执行文件分析
windows可执行文件是什么?是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文
2013-11-21 12:24:13
2087
转载 Windows进程创建的流程分析
. 创建进程的大体流程: 创建进程的过程就是构建一个环境,这个环境包含了很多的机制 (比如自我保护, 与外界通信等等)。 构建这个环境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数), 内核态负责来构建这个环境,由于环境是由内核态构建的,因此他持有这个环境的控制权, 而用户由于提供了原料, 因此他具有使用权。 内核态开始构建环境中的基
2013-11-21 12:17:34
2432
2
转载 主机入侵防御系统(HIPS)分析
主机入侵防御系统(Host Intrusion Prevent System,HIPS)是近几年出现并迅速发展的新兴产物,与传统意义的防火墙和杀毒软件不同,它并不具备特征码扫描和主动杀毒等功能,所以想用它来替换传统杀毒软件然后安枕无忧睡大觉的用户可以不必尝试了,主机入侵防御系统是不会区别正常程序和木马的,它只有一个动作,那就是让你了解一个进程的加载情况并让你决定这个进程能否运行,换句话说,系统的安
2013-11-21 12:07:19
5774
1
转载 Windows的进程间通信
对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间“
2013-11-21 11:44:19
3139
1
转载 通过HookNtCreateSection 动态监控驱动sys、动态链接库dll、可执行文件exe加载
[cpp] view plaincopyprint?/* windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过 */ #include #include "nt_help.h" DRIVER_INITIALIZE DriverEntry; typedef str
2013-11-21 11:31:56
3293
转载 HOOK NtCreateSection
本程序使用了hde32反汇编引擎,所以性能更加稳定!#pragma once#include NTSYSAPINTSTATUSNTAPINtCreateSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES
2013-11-21 10:27:44
2259
转载 CreateProcess函数详解及示例
WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes。 LPSECURITY_ATTRIB
2013-11-20 16:44:24
2163
转载 使用Native API 创建进程
使用 Native API 创建进程 最近几个星期一直在研究这个题目。因为关于方面的资料比较多(可以看下面的参考文章),所以开始时以为很快就结束了。谁知道真正动起手来才发现有很多要考虑的地方,不过还好今天终于成功了,还是很高兴的。写下来,做个小结吧。(纸上得来终觉浅 , 须知此事要躬行。) 我们一般是使用 CreateProcess 来创建进程的,而使用 Native API 来创
2013-11-20 16:39:50
1330
转载 Windows操作系统下创建进程的过程
进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合,它本身没有任何运行的含义,只是一个静态实体。而进程则不同,它是程序在某个数据集上的执行,是一个动态实体。它因创建而产生,因调度而运行,因等待资源或事件而被处于等待状态,因完成任务而被撤消,反映了一个程序在一定的数据集上运行的全部动态过程。 线程(
2013-11-20 16:26:13
1666
转载 windows运行打开服务命令
windows运行打开服务命令 Java代码 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 补
2013-11-20 14:27:03
2464
转载 出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法
在DNS解析中,出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法 .由于公司网站空间更换了服务商。域名DNS也指向了新服务商提供的NS记录可是这边访问网站仍然是访问到了原来服务器上。NS记录已经生效了,可为什么域名还是指向老服务器呢?一般执行:开始--运行--CMD--命令: ipconfi
2013-11-20 14:26:15
4956
转载 对XP上的KiFastSystemCall进行浅析
Windows API的系统调用过程通过KiFastSystemCall或int 2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。 以ntdll!ZwCreateProcessEx为例: Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiFastS
2013-11-19 17:01:26
6625
原创 RasieException
RasieException是SEH API,SEH != 进内核,RasieException并不必然导致用户态内核态切换。事实上这个API被调用以后会首 先尝试在用户态进行处理,如果没有任何处理者可用,则直接调用ExitProcess退出进程,这个调用倒是要进内核。 Raising an exception causes the exception dispatcher to
2013-11-19 16:32:04
1051
原创 Windbg 问题集锦记录
问题1:问: 0 Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen # ChildEBP RetAddr Args to Child 00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSystemCallRet*** WARNI
2013-11-19 16:18:40
1273
转载 通过挂钩NtCreateSection监控可执行模块
通过挂钩 NtCreateSection 监控可执行模块 在 Win32 中,我们使用 CreateFileMapping 来创建映射文件对象,函数原型如下: HANDLE CreateFileMapping( HANDLE hFile, // handle to file to map LPSECURITY_ATTRIBUTES lpF
2013-11-19 15:49:13
1008
转载 Windows的SEH机理简要介绍
1.异常分类一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常。但是,在处理各自异常时,会略有区别。 一般来说,异常处理过程可以分
2013-11-19 15:46:52
2739
转载 利用钩子技术控制进程创建(附源代码)
一、 简介 最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个
2013-11-19 14:11:56
1412
转载 根据url提取网站域名的方法小结
前言:最近使用到了他人总结的一个基础类库。查看了下源码,发现String帮助类的一个辅助方法不是很严谨,重构之。1、原来程序的写法1234567891011121314public static string GetDomainNa
2013-11-16 11:19:01
1589
转载 如何清除本机DNS缓存
如何清除本机DNS缓存 在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其 解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大,所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。一、什么是DNS解析故障? 一般来说像我们访问的www.sina.com,www.i
2013-11-16 11:14:03
1822
转载 Windos DNS Client 缓存
要查看 DNS 缓存,请在命令提示符下键入 ipconfig /displaydns。 要从 DNS 缓存中删除该项,请在命令提示符下键入 ipconfig /flushdns。 ipconfig.exe调用了Dnsapi.dll中导出的DnsFlushResolverCache 函数,该函数没有任何参数. BOOL WINAPI DnsFlushResolver
2013-11-16 11:06:18
1082
转载 DNS 攻击方式及攻击案例
【赛迪网-IT技术报道】2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈, 12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”黑客所使用的方式就是DNS劫持,那么什么叫DNS,什么又是DNS劫持呢,下面我们就来一一解析。什么是DNS呢?
2013-11-16 11:02:19
7351
转载 Windows下DNS ID欺骗的原理与实现
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。一、DNS协议的相关数据结构01.DNS数据报:02.typedef struct dns03.{04.unsigned short id;05.//标识,通过
2013-11-16 10:55:20
2140
转载 谈谈域名DNS的缓存问题
可以从很多地方看到,许多刚开始做站的朋友,对域名设置方面的知识原理一知半解,以至于为了某些测试需要,经常对域名解析大动干戈。今天改个A记录,明天又换个NS。又或者,在迁移域名,迁移网站的时候的时候由于一些错误的操作,导致本可避免的问题, 在不恰当的操作下就出现了问题。域名解析不像空间绑定IP那样,能够即时生效,即时失效。每一个域名,在服务商那边都有一个DNS服务器,作用是把利于用户
2013-11-15 16:35:07
1126
转载 命令学习_nslookup
nslookup 域名 这是最常用最简单的用法,可以直接获得目标域名的IP地址和CNAME。 如下是A记录的返回情况 nslookup命令会采用先反向解释获得使用的DNS服务器的名称,上图中ns.guangzhou.gd.cn就是我使用的DNS服务器。后面三行,Name是目标域名的CNAME,Address是目标域名的IP地址,Alia
2013-11-15 12:24:15
1130
转载 命令学习_IPCONFIG: DNS cache操作
IPCONFIG: DNS cache操作 Windows会将解析到的DNS信息缓存,这个机制可以加速重复的域名访问。从DNS Server返回的DNS Response消息中带有"Time to Live"字段,表示在DNS Cache中缓存的秒数。ipconfig /displaydns 命令会显示DNS Client的缓存信息。 ipconfig /flush
2013-11-15 11:16:47
1372
转载 命令学习_ping
PING: ping是一个所有操作系统都支持的简单工具。我么可以利用ping来解析DNS 的A record和PTRrecord. A记录是将域名映射到IP地址,这个是ping的缺省功能, ping同样支持PRT记录查询,即是DNS反向查找。 PRT记录是将IP地址解析为对应的DNS域名,可以通过带-a的ping命令实现。 IP地址和域名并没有一对一的映射关系,
2013-11-15 11:11:50
1089
转载 error C2220: warning treated as error - no object file generated的处理方法
WDK/DDK中掉 error C2220: warning treated as error - no ‘object’ file generated2009-04-01 15:54网上搜索而来,保存其实就是关掉编译选项的问题…网上提得最多的就是修改 WDKPATH/i386.inc文件中的MSC_WARNING_LEVEL=$(M
2013-11-07 11:33:56
4757
dotnetfx_cleanup_tool
2015-07-23
error C4996
2015-07-11
解决rdlc报错 An error occurred during local report processing
2015-07-07
VC 常见编译错误.pdf
2015-02-13
ReloadKernel(重载内核全程分析)
2014-02-25
如何HOOK桌面窗口消息
2013-12-26
代码注入的三种方法
2013-12-26
Windows下DNS ID欺骗的原理与实现
2013-11-16
NDIS+IM防火墙安装文件和源代码
2013-07-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人