自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(49)
  • 资源 (1)
  • 收藏
  • 关注

转载 汇编语言——跳转指令: JMP、JECXZ、JA、JB、JG、JL、JE、JZ、JS、JC、JO、JP

跳转指令分三类:一、无条件跳转: JMP;二、根据 CX、ECX 寄存器的值跳转: JCXZ(CX 为 0 则跳转)、JECXZ(ECX 为 0 则跳转);三、根据 EFLAGS 寄存器的标志位跳转, 这个太多了.根据标志位跳转的指令:JE ;等于则跳转JNE ;不等于则跳转JZ ;为 0 则跳转JNZ ;不为 0 则跳转JS ;为

2013-10-16 00:24:21 37298

转载 修改活动进程链隐藏进程

如何修改活动进程链来隐藏进程?通过PsGetCurrentProcess函数可以获取当前线程的EPROCESS,反汇编这个函数的话可以看到这个内核函数只有三行:mov eax, fs:0x00000124;mov eax, [eax + 0x44];retWindows中有一个叫Kernel's Processor Control Block (KPRCB),核心处理控制块的结

2013-06-25 20:35:30 1691

转载 VMware Workstation 9.0.0-812388 简体中文破解版(附序列号)

原帖地址:http://bbs.pcbeta.com/viewthread-1119365-1-1.htmlVMWare是虚拟化解决方案厂商,旗下有多款虚拟机软件产品,其中最知名的要数VMWare Workstion了。该版本适用于单机用户在一台PC上运行多个操作系统,用户可以不必重启计算机在不同的操作系统之间切换,并且支持共享网络。VMware Workstation是爱比拼软件园最喜欢

2013-06-24 23:31:38 2771

转载 VMware Workstation 9.0.2下载地址+完美汉化补丁+注册机+VM虚拟bios+MAC补丁

原帖地址:http://bbs.pcbeta.com/viewthread-920274-1-1.html大名鼎鼎的虚拟机软件 VMware Workstation,是一款功能强大的桌面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统(Windows/Linux/Mac/其它系统)和进行开发、测试、部署新的应用程序的最佳解决方案。   本次VM

2013-06-24 23:31:03 2758

转载 独立进程和共享进程是什么意思?服务类型中独立、共享进程服务

简单的说:在Windows系统,独立进程就是一个服务独占一个进程。共享进程就是多个服务共享一个进程,共享进程是为了节省系统资源,但也带来一些不稳定,一个服务因出错导致共享进程退出,其他共用这进程的程序也会一起退出的。同时,共享进程是两个id共同使用的进程。 比如nt核心系统中非常重要的进程svchost.exe就是共享进程。随着windows系统服务不断增多,为了节省系统资源,

2013-06-24 10:58:18 1823

转载 _tcsnicmp&_wcsnicmp

函数名称: _wcsnicmp 系统要求: Windows CE 2.0 and later. 头文件: stdio.h, string.h所在DLL: coredll.dll 函数功能: 比较指定长度的两个字符串。参数: 第1个参数: const wchar_t *string1第一个字符串。 第2个参数: const wchar_

2013-06-22 22:02:47 6769

转载 调整进程权限

我们枚举的代码基本上是完成了,到VC6下直接按 Ctrl+F5组合键运行程序,可以看到我们枚举的进程都出来了。然后选中“svchost.exe”进程,单击“查看DLL”按钮,“svchost.exe”进程中加载的DLL也都枚举出来了,这样运行是没有问题的。接下来找到编译好的任务管理器运行(不要直接在VC6 下运行),可以看到,我们枚举的进程也都显示出来了。仍然选中“svchost.exe”,然后单

2013-06-18 22:20:07 1488

转载 修改进程权限(转载)

函数RtlAdjustPrivliege封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。先来看看这个函数的定义(Winehq给出):NTSTATUS RtlAdjustPrivilege(ULONG Privilege,BOOLEAN Enable,BOOLEAN CurrentThread,P

2013-06-18 22:08:54 896

原创 关于c 语言处理变长参数问题

关于c 语言处理变长参数问题c 的 printf 的函数原型:int printf(const char *fmt, ...); // 逗号,后面,即第二个参数是三个点vsprintf 的函数原型:int vsprintf(char *s, const char *fmt, va_list arg);va_list类型:VA_LIST 是在C语言中解决

2013-06-18 21:31:46 612

转载 GetModuleFileName

获取一个已装载模板的完整路径名称函数原型:DWORD GetModuleFileName(HMODULE hModule,LPTSTR lpFilename,DWORD nSize);函数参数说明:hModule HMODULE 装载一个程序实例的句柄。如果该参数为NULL,该函数返回该当前应用程序全路径。lpFileName LPTSTR 是你存放

2013-06-17 23:06:51 576

转载 Windows服务编写综述

Windows服务编写综述作者:李朝中    摘要:几乎所有的操作系统在启动的时候都会启动一些不需要与用户交互的进程,这些进程在Windows中就被称作服务。它由服务程序、服务控制程序(SCP,service control program)和服务控制管理器(SCM,service control manager)三个组件构成。本文针对服务程序与服务控制程序的编写进行综合讲述。

2013-06-17 09:45:28 572

转载 NtQueryInformationProcess

从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并用它们示范如何获取任何指定进程的父进程ID。   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:NTSYSAPINTSTATUSNTAPINt

2013-06-17 00:13:46 1129

转载 \n 是换行\r 是回车 那么它们与回车键什么关系

\n 是换行\r 是回车 那么它们与回车键什么关系如果你学过汇编,应该就能明白了。它们的ASCII码一个是12,一个是14吧,我也记不清了。不知对不对。在汇编程序中,如果你在程序中只用\r,当你在键盘输入内容,然后回车,那就会把你输入的内容显示在屏幕上,但是并不换行,输入的光标移到你输入的这一行的开始,你要是再输入,就把以前的那些内容覆盖了。只有你又用了\n

2013-06-16 23:14:21 2743 1

原创 PROCESS_INFORMATION 结构 STARTUPINFO结构 SECURITY_ATTRIBUTES 结构

PROCESS_INFORMATION 结构在创建进程时相关的数据结构之一,该结构返回有关新进程及其主线程的信息。其结构定义如下。typedef struct_PROCESS_INFORMATION{HANDLE hProcess;//返回新进程的句柄HANDLE hThread;//返回主线程的句柄DWORD dwProcessId;//返回一个全局进程标

2013-06-16 15:15:38 1284

原创 CreateThread CreateProcess

MSDN中CreateThread原型:HANDLE CreateThread(  LPSECURITY_ATTRIBUTES lpThreadAttributes, // 指向SECURITY_ATTRIBUTES型态的结构的指针,NULL使用默认安全性  SIZE_T dwStackSize,// 设置初始栈的大小,以字节为单位,如果为0,那么默认将使用与调用该函数的线程相

2013-06-15 11:31:41 1113

转载 wsprintf&vsprintf

wsprintf函数wsprintf()将一系列的字符和数值输入到缓冲区。输出缓冲区里的的值取决于格式说明符(即"%")。如果写入的是文字,此函数给写入的文字的末尾追加一个'\0'。函数的返回值是写入的长度,但不包括最后的'\0'。int wsprintf(LPTSTRlpOut, // 输出缓冲区,最大为1024字节LPCTSTRlpFmt, // 格式字

2013-06-08 11:03:15 899

转载 线程函数的设计以及MsgWaitForMultipleObjects函数的使用要点

使用多线程技术可以显著地提高程序性能,本文就讲讲在程序中如何使用工作线程,以及工作线程与主线程通讯的问题。 一 创建线程        使用MFC提供的全局函数AfxBeginThread()即可创建一个工作线程。线程函数的标准形式为 UINT MyFunProc(LPVOID );此函数既可以是全局函数,也可以是类的静态成员函数。之所以必须是静态成员函数,是由于类

2013-05-28 21:05:52 480

转载 Windows消息机制要点

windows消息处理机制是这样的:         首先系统(也就是windows)把来自硬件(鼠标,键盘等消息)和来自应用程序的消息 放到一个系统消息队列中去. 而应用程序需要有自己的消息队列,也就是线程消息队列,每一个线程有自己的消息队列,对于多线程的应用程序就有和线程数目相等的线程消息队列.     windows消息队列把得到的消息发送到线程消息队列,线程消息队列每次取出

2013-05-28 12:37:52 598

转载 最简单的驱动程序

一个最基本的驱动程序,算是入门用户的样例吧。当然要想测试的话,你的先安装好DDK开发环境。源代码如下:#include "ntddk.h"void OnUnload(IN PDRIVER_OBJECT DriverObject){DbgPrint("OnUnload Called! \n");}NTSTATUS DriverEntry(IN PDRIVER_

2013-05-28 12:36:49 580

转载 #ifdef _DEBUG用法小结

1#ifdef _DEBUG virtual void AssertValid() const; //assert(断言)valid(有效的,正确的)virtual void Dump(CDumpContext& dc) const; //存储上下文#endif这两个函数是调试用的,第一个函数检查可用性,即是否有效 第二个函数如果未更改的话,最终调用的是Cwnd::Dump

2013-05-28 12:35:27 689

转载 NTFS中的streams和ADS

1、前言交换数据流(alternate data streams,以下简称ADS)也不是什么新东西,但用户和管理员对它的认识知之甚少,本文将结合前人的资料对ADS做一番探讨。如有错误,还望高手赐教。2、概念先来看看微软对多文件流的解释:在NTFS 文件系统下,每个文件都可以有多个数据流。值得一提的是,流不是 NTFS 2000 的功能,但是从 Windows NT 3.

2013-05-27 16:09:59 1528

转载 交换数据流(ADS)与IIS的前世与今生

(http://blog.csdn.net/lake2/archive/2005/01/26/269659.aspx)关于交换数据流(alternate data streams)的概念请参看bigworm翻译的文章《NTFS不利的一面》,本文只是讲一下在IIS上访问ADS的情况。    先请大家看一个很古老的漏洞:Microsoft IIS 3.0/4.0 ::$DATA请求泄露

2013-05-27 16:08:30 582

转载 VS2008 、DDK XP 和DDKWizard 搭建驱动开发环境

VS2008 、DDK XP 和DDKWizard 搭建驱动开发环境配置环境永远是第一个拦路虎,驱动开发的环境配置更是如此,今天看了一本有关 DDK 开发的,故想在自己的机子上测试一下。所以就得开始配置环境,因为本人机上已经装了VS2008, 所以没找查找关天 VC 其他版本的配置方法。开始 在网上找了些资料 ,一边装一边记录,方便以后再次重装吧。一、   安装 Visual Studio

2013-05-26 15:50:47 653

转载 PVOID指针类型

P表示指针PVOID表示:void *,无类型指针所有指针都是一个32位二进制数(32位系统下),这个意义上说所有指针都是一样的,它们的大小一样,用于指向内存中的某处地址,然而指针为什么要有类型之分呢?答案是指针偏移。例如p为一个指针,它指向内存某处地址,那么p+1(或者写p[1])是什么意思呢?答案是p指向地址的后面那个地址,那么后面多少呢?这就看指针类型了,假如它是字符指针,那么就

2013-05-25 22:24:09 1538

转载 WinAPI: GetTempFileName

GetTempFileName(  lpPathName: PChar;     {路径}  lpPrefixString: PChar; {前缀}  uUnique: UINT;         {指定生成文件名的数字, 文件名将根据参数2、参数3来生成}  lpTempFileName: PChar  {文件名需要的缓冲区}): UINT;

2013-05-24 16:16:26 621

转载 虚拟内存技术原理和使用方法

Windows的内存结构是深入理解Windows操作系统如何运作的最关键之所在,通过对内存结构的认识可清楚地了解诸如进程间数据的共享、对内存进行有效的管理等问题,从而能够在程序设计时使程序以更加有效的方式运行。Windows操作系统对内存的管理可采取多种不同的方式,其中虚拟内存的管理方式可用来管理大型的对象和结构数组。在Windows系统中,任何一个进程都被赋予其自己的虚拟地址空间,该虚拟

2013-05-23 21:50:53 875

转载 TOKEN_PRIVILEGES&LUID_AND_ATTRIBUTES structure

typedef struct _TOKEN_PRIVILEGES{ULONG PrivilegeCount; //数组元素的个数LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY]; //数组.类型为LUID_AND_ATTRIBUTES} TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;有关LUID_AND_AT

2013-05-21 21:53:27 714

转载 注册表五大根键

hkey_classes_boot 该主关键字定义了系统中所有已注册的文件扩展名、文件类型、文件图标等hkey_current_user 定义了当前用户的所有权限hkey_local_machine 定义了本地计算机的软硬件的全部信息hkey_users 定义了所有用户的信息hkey_current_config 定义了计算机的当前配置情况1.HKEY_CLASSES_ROOT管理文

2013-05-20 21:00:09 3037

转载 LPCTSTR和LPTSTR区别

LPCTSTR和LPTSTRLPTSTR:      如果定义了UNICODE宏,那么LPTSTR    =    wchar_t*否则LPTSTR    =    char*         LPCTSTR:      如果定义了UNICODE宏,那么LPCTSTR    =    const    wchar_t*,否则LPCSTR    =    const

2013-05-20 20:44:06 1597

转载 驱动感染技术扫盲(C描述)

http://blog.csdn.net/yeahhook/article/details/8732389驱动感染技术扫盲(C描述)  Writer By 老Y上周的上周的....周末有位同学提到过驱动感染问题,而刚好周末也没有地方可去,所以就有了这篇文章的出现.既然是扫盲版,那肯定是没有什么高深的东西了,只是一些奇淫技巧,高手请自动跳过。好了,回归正题,很多年前(其实也就4,

2013-05-16 09:53:25 565

转载 _declspec(naked) 使用

http://www.cnblogs.com/netzlj/archive/2009/10/22/1588177.html对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked),那么系统会自动给添加一些额外的代码,控制堆栈平衡,但是这些额外的代码会破坏被hook函数的堆栈。对于call类型的hook,如果使用_declspec(naked)修饰的话,

2013-05-16 09:51:27 676

转载 PE File中取Section,用RVA还是用PointerToRawData?

http://blog.csdn.net/qiqi5045/article/details/7736576在Dump PE File的section table时候,一开始选用RVA来计算section的地址,以期望能取到Section信息,后来发现不完全正确,应该用http://blog.csdn.net/qiqi5045/article/details/7736576Pointer

2013-05-15 13:03:41 1042

转载 汇编fs段

FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针

2013-05-15 13:02:42 2109

转载 在win7下kernel32.dll地址获取

#include #include __inline __declspec(naked) unsigned int findkerneldll(){  __asm{    push esi  push edi  push ecx    xor ecx, ecx    mov esi, fs:0x30    mov esi, [esi + 0x0c]

2013-05-15 13:01:00 2370

转载 Win 7下定位kernel32.dll基址及shellcode编写

链 接: http://bbs.pediy.com/showthread.php?t=122260 Win 7下定位kernel32.dll基址及shellcode编写Author:CryinData:2010.10.14Blog:http://hi.baidu.com/justear      为了使shellcode在多种操作系统平台下都可以正常

2013-05-15 12:59:27 1133

转载 浅析PE文件感染

作 者: zyhfut时 间: 2010-12-27,21:21:28链 接: http://bbs.pediy.com/showthread.php?t=127202PE文件感染,早已不是什么新鲜的话题。论坛中也有很多反复摧残PE文件的文章。这段时间在看病毒方面的知识,所以重新温习了下PE文件的结构,介绍PE结构的帖子很多,我就不详细介绍了,再介绍也不一定由牛人们介绍的详细。

2013-05-15 12:56:32 1591

转载 PE文件感染术

这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。   在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目

2013-05-15 12:55:17 1562

转载 匈牙利命名法

变量(还包括宏)的命名规则,比较系统和彻底的有 Windows 编程中用到的匈牙利命名法。匈牙利命名法通过在变量名前面加上相应的小写字母的符号标识作为前缀,标识出变量的作用域,类型等。这些符号可以多个同时使用,顺序是先m_(成员变量),再指针,再简单数据类型,再其他。例如:m_lpszStr, 表示指向一个以0字符结尾的字符串的长指针成员变量。有关匈牙利命名法的一点有意思的说明是它的名字的由来

2013-05-15 12:51:20 610

转载 深入解析PE文件结构之导出表获取

http://blog.csdn.net/yiyefangzhou24/article/details/7268319最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心

2013-05-15 12:49:06 696

转载 解析PE结构之-----导出表

链 接:http://bbs.pediy.com/showthread.php?t=122632在PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。    我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调

2013-05-15 12:48:13 770

WTL for MFC Programmers

WTL for MFC Programmers

2013-05-17

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除