自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(30)
  • 资源 (18)
  • 收藏
  • 关注

转载 有关遍历进程中句柄的方法总结

此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。 BOOL AdjustProcessPrivilege(HANDLE hProces

2013-11-30 10:23:39 3795

转载 关于“进程挂靠”

线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。    显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。    一般而言,如果线程T属于进程P,那么当这个

2013-11-21 12:59:48 4960

转载 说说猎豹安全浏览器

最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析了一下。1.猎

2013-11-21 12:58:36 1942

转载 windows 可执行文件分析

windows可执行文件是什么?是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文

2013-11-21 12:24:13 2087

转载 Windows进程创建的流程分析

.   创建进程的大体流程:  创建进程的过程就是构建一个环境,这个环境包含了很多的机制 (比如自我保护, 与外界通信等等)。 构建这个环境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数), 内核态负责来构建这个环境,由于环境是由内核态构建的,因此他持有这个环境的控制权, 而用户由于提供了原料, 因此他具有使用权。 内核态开始构建环境中的基

2013-11-21 12:17:34 2432 2

转载 主机入侵防御系统(HIPS)分析

主机入侵防御系统(Host Intrusion Prevent System,HIPS)是近几年出现并迅速发展的新兴产物,与传统意义的防火墙和杀毒软件不同,它并不具备特征码扫描和主动杀毒等功能,所以想用它来替换传统杀毒软件然后安枕无忧睡大觉的用户可以不必尝试了,主机入侵防御系统是不会区别正常程序和木马的,它只有一个动作,那就是让你了解一个进程的加载情况并让你决定这个进程能否运行,换句话说,系统的安

2013-11-21 12:07:19 5774 1

转载 Windows的进程间通信

对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间“

2013-11-21 11:44:19 3139 1

转载 通过HookNtCreateSection 动态监控驱动sys、动态链接库dll、可执行文件exe加载

[cpp] view plaincopyprint?/* windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过 */    #include   #include "nt_help.h"  DRIVER_INITIALIZE DriverEntry;    typedef str

2013-11-21 11:31:56 3293

转载 HOOK NtCreateSection

本程序使用了hde32反汇编引擎,所以性能更加稳定!#pragma once#include NTSYSAPINTSTATUSNTAPINtCreateSection(OUT PHANDLE SectionHandle,        IN ACCESS_MASK DesiredAccess,        IN POBJECT_ATTRIBUTES

2013-11-21 10:27:44 2259

转载 CreateProcess函数详解及示例

WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes。 LPSECURITY_ATTRIB

2013-11-20 16:44:24 2163

转载 使用Native API 创建进程

使用 Native API 创建进程 最近几个星期一直在研究这个题目。因为关于方面的资料比较多(可以看下面的参考文章),所以开始时以为很快就结束了。谁知道真正动起手来才发现有很多要考虑的地方,不过还好今天终于成功了,还是很高兴的。写下来,做个小结吧。(纸上得来终觉浅 , 须知此事要躬行。) 我们一般是使用 CreateProcess 来创建进程的,而使用 Native API 来创

2013-11-20 16:39:50 1330

转载 Windows操作系统下创建进程的过程

进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合,它本身没有任何运行的含义,只是一个静态实体。而进程则不同,它是程序在某个数据集上的执行,是一个动态实体。它因创建而产生,因调度而运行,因等待资源或事件而被处于等待状态,因完成任务而被撤消,反映了一个程序在一定的数据集上运行的全部动态过程。  线程(

2013-11-20 16:26:13 1666

转载 windows运行打开服务命令

windows运行打开服务命令 Java代码  1. gpedit.msc-----组策略  2. sndrec32-------录音机  3. Nslookup-------IP地址侦测器  4. explorer-------打开资源管理器  5. logoff---------注销命令  6. tsshutdn-------60秒倒计时关机命令   补

2013-11-20 14:27:03 2464

转载 出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法

在DNS解析中,出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法  .由于公司网站空间更换了服务商。域名DNS也指向了新服务商提供的NS记录可是这边访问网站仍然是访问到了原来服务器上。NS记录已经生效了,可为什么域名还是指向老服务器呢?一般执行:开始--运行--CMD--命令: ipconfi

2013-11-20 14:26:15 4956

转载 对XP上的KiFastSystemCall进行浅析

Windows API的系统调用过程通过KiFastSystemCall或int 2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。  以ntdll!ZwCreateProcessEx为例:  Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiFastS

2013-11-19 17:01:26 6625

原创 RasieException

RasieException是SEH API,SEH != 进内核,RasieException并不必然导致用户态内核态切换。事实上这个API被调用以后会首 先尝试在用户态进行处理,如果没有任何处理者可用,则直接调用ExitProcess退出进程,这个调用倒是要进内核。 Raising an exception causes the exception dispatcher to

2013-11-19 16:32:04 1051

原创 Windbg 问题集锦记录

问题1:问: 0  Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen # ChildEBP RetAddr  Args to Child              00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSystemCallRet*** WARNI

2013-11-19 16:18:40 1273

转载 通过挂钩NtCreateSection监控可执行模块

通过挂钩 NtCreateSection 监控可执行模块 在 Win32 中,我们使用 CreateFileMapping 来创建映射文件对象,函数原型如下:  HANDLE CreateFileMapping(    HANDLE hFile,  // handle to file to map    LPSECURITY_ATTRIBUTES lpF

2013-11-19 15:49:13 1008

转载 Windows的SEH机理简要介绍

1.异常分类一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常。但是,在处理各自异常时,会略有区别。 一般来说,异常处理过程可以分

2013-11-19 15:46:52 2739

转载 利用钩子技术控制进程创建(附源代码)

一、 简介  最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个

2013-11-19 14:11:56 1412

转载 根据url提取网站域名的方法小结

前言:最近使用到了他人总结的一个基础类库。查看了下源码,发现String帮助类的一个辅助方法不是很严谨,重构之。1、原来程序的写法1234567891011121314public static string GetDomainNa

2013-11-16 11:19:01 1589

转载 如何清除本机DNS缓存

如何清除本机DNS缓存 在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其 解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大,所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。一、什么是DNS解析故障?   一般来说像我们访问的www.sina.com,www.i

2013-11-16 11:14:03 1822

转载 Windos DNS Client 缓存

要查看 DNS 缓存,请在命令提示符下键入 ipconfig /displaydns。  要从 DNS 缓存中删除该项,请在命令提示符下键入 ipconfig /flushdns。  ipconfig.exe调用了Dnsapi.dll中导出的DnsFlushResolverCache 函数,该函数没有任何参数.  BOOL  WINAPI  DnsFlushResolver

2013-11-16 11:06:18 1082

转载 DNS 攻击方式及攻击案例

【赛迪网-IT技术报道】2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈, 12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”黑客所使用的方式就是DNS劫持,那么什么叫DNS,什么又是DNS劫持呢,下面我们就来一一解析。什么是DNS呢?

2013-11-16 11:02:19 7351

转载 Windows下DNS ID欺骗的原理与实现

域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。一、DNS协议的相关数据结构01.DNS数据报:02.typedef struct dns03.{04.unsigned short id;05.//标识,通过

2013-11-16 10:55:20 2140

转载 谈谈域名DNS的缓存问题

可以从很多地方看到,许多刚开始做站的朋友,对域名设置方面的知识原理一知半解,以至于为了某些测试需要,经常对域名解析大动干戈。今天改个A记录,明天又换个NS。又或者,在迁移域名,迁移网站的时候的时候由于一些错误的操作,导致本可避免的问题, 在不恰当的操作下就出现了问题。域名解析不像空间绑定IP那样,能够即时生效,即时失效。每一个域名,在服务商那边都有一个DNS服务器,作用是把利于用户

2013-11-15 16:35:07 1126

转载 命令学习_nslookup

nslookup 域名      这是最常用最简单的用法,可以直接获得目标域名的IP地址和CNAME。      如下是A记录的返回情况      nslookup命令会采用先反向解释获得使用的DNS服务器的名称,上图中ns.guangzhou.gd.cn就是我使用的DNS服务器。后面三行,Name是目标域名的CNAME,Address是目标域名的IP地址,Alia

2013-11-15 12:24:15 1130

转载 命令学习_IPCONFIG: DNS cache操作

IPCONFIG: DNS cache操作 Windows会将解析到的DNS信息缓存,这个机制可以加速重复的域名访问。从DNS Server返回的DNS Response消息中带有"Time to Live"字段,表示在DNS Cache中缓存的秒数。ipconfig /displaydns 命令会显示DNS Client的缓存信息。 ipconfig /flush

2013-11-15 11:16:47 1372

转载 命令学习_ping

PING: ping是一个所有操作系统都支持的简单工具。我么可以利用ping来解析DNS 的A record和PTRrecord. A记录是将域名映射到IP地址,这个是ping的缺省功能, ping同样支持PRT记录查询,即是DNS反向查找。 PRT记录是将IP地址解析为对应的DNS域名,可以通过带-a的ping命令实现。 IP地址和域名并没有一对一的映射关系,

2013-11-15 11:11:50 1089

转载 error C2220: warning treated as error - no object file generated的处理方法

WDK/DDK中掉 error C2220: warning treated as error - no ‘object’ file generated2009-04-01 15:54网上搜索而来,保存其实就是关掉编译选项的问题…网上提得最多的就是修改 WDKPATH/i386.inc文件中的MSC_WARNING_LEVEL=$(M

2013-11-07 11:33:56 4757

dotnetfx_cleanup_tool

解决.Net Framework 2.0 安装时出现Error 25007的错误,错误信息: Product: Microsoft .NET Framework 2.0 -- Error 25007.Error occurred while initializing fusion. Setup could not load fusion with LoadLibraryShim(). Error: The handle is invalid.

2015-07-23

error C4996

使用vs2012,遇到如下错误。 error C4996: ‘fopen': This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details.

2015-07-11

解决rdlc报错 An error occurred during local report processing

从VS2005升级到2012或者2013后,原来做的报表,如果编辑过,而且不是转换成XML而是用编辑模式的话,会报错“An error occurred during local report processing”

2015-07-07

VC 常见编译错误.pdf

USE_NATIVE_EH has an invalid value, change it to 1. error C2065: ‘_bstr_t’ : undeclared identifier error MSB8008: 指定的平台工具集(v110)未安装或无效 error C2065: “CString”: 未声明的标识符 error C2664: “ATL::CStringT<BaseType,StringTraits>::Remove”: 不能将参数 1 从“const char [2]”转换为“char”

2015-02-13

VC 常见编译错误

VC,编译错误,error C2664,error C2065,error MSB8008

2015-02-13

驱动和应用层的三种通信方式

介绍了驱动和应用层的三种通信方式,工程一个应用层exe.一个驱动,exe中没有安装驱动的代码,驱动需要手动找工具安装下,然后再运行exe

2014-03-03

CPUID,根据汇编指令cpuid获取CPU信息

根据汇编指令cpuid获取CPU信息,奔腾4以上的CPUID,intel不提供了

2014-02-27

ReloadKernel(重载内核全程分析)

重载内核内容: 1、 将内核文件加载到内存 2、 进行基址重定位 3、 重定位ssdt结构 4、 Hook KiFastCallEntry,让RING3进程调用走新内核

2014-02-25

Windows RPC入门程序

RPC入门程序,经VS2010调试通过并正常运行。源于微软官网。有修改。

2014-01-25

如何HOOK桌面窗口消息

如何HOOK桌面窗口消息. 截获桌面窗口鼠标单击事件,解析所选中的桌面 Item,并将解析后的 item 信息发送给主调程序,并将信息显示在一个窗口上面

2013-12-26

代码注入的三种方法

如何将代码注入不同的进程地址空间,然后在该进程的上下文中执行注入的代码。本文将介绍三种方法: 1、Windows 钩子 2、CreateRemoteThread 和 LoadLibrary 技术 ——进程间通信 3、CreateRemoteThread 和WriteProcessMemory 技术 ——如何用该技术子类化远程控件 ——何时使用该技术

2013-12-26

VC操作桌面图标:取消自动排列图标及取消将图标对其至网格

VC操作桌面图标:取消自动排列图标及取消将图标对其至网格、移动桌面图标位置

2013-12-02

MyCreateprocess 实现系统创建进程的过程

通过学习进程创建机制,自己实现系统创建进程的过程

2013-11-20

MyCreateprocess

通过学习进程创建机制,自己实现系统创建进程的过程

2013-11-20

利用钩子技术控制进程创建(源码)

利用钩子技术控制进程创建(源码) ,能够对想学习钩子的朋友起到帮助作用。

2013-11-19

Windows下DNS ID欺骗的原理与实现

局域网内的网络安全是一个值得大家关注的问题,往往容易发起各种欺骗攻击,这是局域网自身的属性所决定的–网络共享。本文所讲解的DNS ID欺骗是基于ARP欺骗之上的网络攻击,如果在广域网上,则比较麻烦。不过也有一些例外情况:如果IE中使用代理服务器,欺骗不能进行,因为这时客户端并不会在本地进行域名请求;如果你访问的不是网站主页,而是相关子目录的文件,这样你在自定义的网站上不会找到相关的文件,登陆以失败告终。如果你不幸被欺骗了,先禁用本地连接,然后启用本地连接就可以清除DNS缓存。

2013-11-16

NDIS+IM防火墙安装文件和源代码

本程序是一个完整的基于windows ndis中间层驱动的防火墙程序,包含了整个驱动层和客户端的代码,以及使用说明。若想研究一下ndis中间层,可以参考一下这个源码~~~

2013-07-11

MFC类库详解,中文版

MFC类库中文版,和MSDN差不多,不过就是翻译成了中文。

2008-10-29

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除