埋vizee的墓

BOOL IsUserAdmin() { BOOL bIsAdmin = FALSE; SID_IDENTIFIER_AUTHORITY NtAuthority = SECURITY_NT_AUTHORITY; PSID Administrators

//thanks for powerful windbg~ BOOL FindModule(HANDLE hProcess, HMODULE hModule, PLDR_DATA_TABLE_ENTRY pLdrData) { DWORD i; PLIST_ENTRY pListEntry; PPEB_LDR_DATA pPebLdr; PROCESS_BASIC_INFORMATION

使用IsWow64Process可以检测当前进程是否运行在WOW64环境下(WOW64 is the x86 emulator that allows Win32-based applications to run on 64-bit Windows),有些人也把它用来检测CPU位数(这用法是错误的) 在MSDN上也有这个函数的使用方法,当然我还是写了个,注意的是IsWow64Process第一

Private Const FORMAT_MESSAGE_ALLOCATE_BUFFER As Long = 256 Private Const FORMAT_MESSAGE_IGNORE_INSERTS As Long = 512 Private Const FORMAT_MESSAGE_FROM_STRING As Long = 1024 Private Const FORMAT_MESSAG

Windows 7系統支持將無線網卡作為WiFi基站(WiFi熱點?), 原理是通過ICS技術(防火牆NAT?)將有效網絡分享給無線承載網絡網卡, 使無線承載網卡連接到網絡. 詳細參見MSDN關於這方面介紹http://msdn.microsoft.com/en-us/library/dd815252(v=vs.85).aspx 為了方便開啟我個人本的WiFi, 就想寫一個這方面的小程序, 在網

在上课吃饱了没事干的情况下,花了点功夫还原了我电脑上的NtTerminateProcess的代码 我的系统是Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible(来自windbg) nt!NtTerminateProcess: mov edi,edi push ebp mo

class DriverControl { private IntPtr hSCManager; private IntPtr hService; private IntPtr hDevice; private uint dwErrorCode; public const int MAX_SERVICE_NAME = 256; public const int MAX_DISPLAY

接下来将大量的时间用于从潘大神的著作中学习知识,并且省吃俭用来购买潘神牛的另外一译作 写下一切内容仅代表个人观点   1.M$的路 很多人都觉得M$(Microsoft,微软)最近在走下坡路,确实M$近几年不是很景气,但下坡,那是一个在重力加速度下,速度会不断不快的过程,显然M$不是.也许你会不信,但我给你举个例子,如果没有M$.这个例子够了么,你要钻牛角尖,你要去用Linux,Mac

去師父神牛的空間里看了下關於内核安全inline hook的討論，感覺受益匪淺，查閲資料后，得知了一種CPU中較爲安全的安裝鈎子的方法。 該代碼來自《Rootkits：Subverting the Windows Kernel》一書，原理是通過向所有非當前的CPU插入DPC，並且在DPC例程中實現忙等待，這是一種比較可愛的方法（PS：雖然我還是糾結于，如果其他CPU當前就已經在執行DPC那不是情

//获取进程路径,理论上至少支持XP;进程句柄需要PROCESS_QUERY_INFORMATION和PROCESS_VM_READ权限...实现方法和GetModuleFileNameEx类似.... //DESP: get process image path BOOL process_get_path(HANDLE hProcess, LPTSTR szImagePath, DWORD d