wangjiabin2007的专栏

原创 UAC文件和注册表操作虚拟化

从vista开始microsoft推出了UAC机制，就是User Account Control。开启UAC机制之后，windows默认通过explorer启动的程序都是运行在标准用户权限下面，而不是管理员用户权限。标准用户权限下会限制用户的诸多操作，最需要我们程序员关注的就是对于文件和注册表的访问，但是在windows xp下，所有的用户都是管理，很多程序在设计之初，就只考虑了程序是运行在管理员

转载 系统运行模式判断

判断系统到底运行在哪个模式有几种方法,这里我就列出一个用户态和驱动层的判断....1 用户态的:#include#includemain(){int mode;mode=GetSystemMetrics(SM_CLEANBOOT);if(mode==0)   printf("系统运行于正常模式");if(mode==1)   printf("系统

原创 OD 各种断点的实现原理

在网上看到好多介绍OD断点原理的文章受益匪浅，主要是前辈LenusMa写的。看完之后，也有一点自己的想法，并且通过实验验证，首先介绍有几种被使用的断点：1、Int3 断点(CC断点)，运行到指令cc就产生int3中断。2、硬件断点，通过调试寄存器DR，DR寄存器只能够存放4个地址

原创 GDI+ gdiplus!CreateDashedPath漏洞分析

影响系统：WinXP SP3漏洞模块：Gdiplus.dll(5.2.6001.22319、5.2.6002.22509)漏洞函数：gdiplus!GpPath::CreateDashedPath，该函数涉及bitmap和其他二维图像的绘制漏洞危害：构造恶意图片可以造成打开图片的

原创 调试原理

调试debug，就是两个进程之间建立起调试与被调试的关系，主要过程包括：1、打开调试进程，就是CreateProcess等函数，设置标志位DEBUG_PROCESS或者DEUBG_ONLY_THIS_PROCESS，建立一个调试者与被调试者的关系。CreateProcess最终调

原创 DEP和ASLR的原理与破解

DEP原理就是在系统的内存页中设置了一个标志位，标示这个内存页的属性（可执行），硬件和系统级支持。ASLR 原理同一个程序运行时，其相同模块的加载地址是随机的，不是固定在某个地址上。DEP的绕过（破解）方法。

原创 windows全局消息钩子的一个BUG

Windows中设置消息钩子，SetWindowsHookEx和UnhookWindowsHook函数，但是系统在我测试的条件下，会调用Unhook错误的消息钩子。应该是微软的一个小BUG，最终的原因应该还是句柄（HHook）没有对应到相应的HOOK结构。

转载 Windows Desktop structure

<br />Who are most familiar with Windows? May be SoftICE, but not always.<br />This is a common scenario: When you Ctrl+D, and input "hwnd", it is "Unable to find a desktop Window".<br />How to resolve it ...<br /><br />By TnTTOOLS, The Art OF Reverse Engi

转载 字符编码的发展

<br />转自：http://www.chinahacker.net/article.asp?id=25<br /> <br />一直对字符的各种编码方式懵懵懂懂，什么ANSI UNICODE UTF-8 GB2312 GBK DBCS UCS……是不是看的很晕，假如您细细的阅读本文你一定可以清晰的理解他们。Let's go!<br /><br />    很久很久以前，有一群人，他们决定用8个可以开合的晶体管来组合成不同的状态，以表示世界上的万物。他们看到8个开关状态是好的，于是他们把这称为"字节"。

转载 64位下GetModuleFileName获取不到进程名的原因

<br />转自： http://blog.csdn.net/anycell/archive/2008/12/12/3505864.aspx<br /> <br />今天客户打来电话说我们公司的服务器程序在新装的64位Windows 2003上以系统服务方式启动不起来。初步怀疑是我们的32位服务程序哪个地方在64位机上不兼容了。结果忙活了一上午，终于找到了问题所在。程序里有一段代码是用来判断程序是以服务方式启动还是以窗口形式启动：在应用程序初始化时获得父进程的句柄。然后通过句柄获得父进程的执行程序全路径。如

原创 Windows SMB漏洞分析

MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow利用Cupidon-3005的漏洞POC

原创 微软的MHTML0day漏洞

<br />漏洞表现：<br />http://evildomain.com/mhtml.html，其html代码为：<br /><iframe src="MHTML:http://trusteddomain.com/demo.html!cookie"></iframe><br />其中URL http://trusteddomain.com/demo.html 的代码为:<br />Content-Type: multipart/related; boundary="_boundary_by_mere"<

原创 IE "ReleaseInterface()"远程代码执行漏洞

<br /><br />该漏洞还没有利用POC出现，期待利用POC发布。<br /> <br />影响版本:<br />Microsoft Internet Explorer 8.0.7600.16385<br /> <br /> <br />漏洞原因：<br />IE在实现上存在远程代码执行漏洞，远程攻击者可利用此漏洞在受影响的应用程序中运行任意代码或造成拒绝服务。漏洞存在于mshtml.dll模块中的ReleaseInterface()函数，可导致修改EIP控制程序执行流程。<br /> <br />参

原创 MS10-081漏洞分析

<br /><br />漏洞模块：comctl32.dll<br /> <br />漏洞原因：comctl32:SBGetText函数返回值的验证问题。<br /> <br />详细内容：comctl32:SBGetText函数会被调用两次，第一次用于确认IE浏览器状态栏（status bar）中的字符串长度，第二次是复制状态栏中的字符串到刚刚申请的堆空间中。由于分配堆空间的大小是通过第一次调用comctl32:SBGetText函数来决定的，如果返回值（长度）小于0xfffe(包括空字符)，就会处理正常。

转载 关于Winnet的若干整理

<br /><br />很久之前用VC做了一个基于http/https的项目，当时把用wininet开发http/https程序的各种问题都搞得十分清楚。由于当时没有总结，以至于现在又出现相同的问题，又得重新查资料，但还好代码在那里。一些问题看看代码也就明白。<br />后来由于工作变迁，离开了原来的公司。那部分代码现在也没有了。所以又得从头来过。<br />现在又做一个http的项目，将一些问题总结一下，为以后再遇到类似的问题节省时间。<br />1. 几个wininet函数。<br />URLDownl

转载 Windows启动阶段驱动程序加载顺序

驱动程序在注册表中键值的设置，可以定制驱动程序的加载顺序。牵涉到的注册表的键值Type，Start，Tage，Group。其中Group，tag值的使用这里进行了详细的解释。type类型在前面的文章中已经有描述了，start类型应该就不用再多讲了。

转载 sfc_os.dll第五号函数替换文件

<br />Windows文件保护是个烦人的东西，我们在写小马的时候不可避免的想要干掉它。<br />流行的思路有以下几种：<br />1.远程注入Winlogon进程卸载sfc_os.dll<br />2.强制替换dllcache里的文件，监视弹窗，使用postmessage发送wm_close消息以关闭。<br />3.调用sfc_os.dll的第5号导出函数以替换文件<br /><br />Windows File Protection is a waste,Solutions usually is:

原创 驱动注册类型

<br />HKLM/SYSTEM/CurrentControlSet/Services/ service-name<br /> <br />TYPE 标志位<br />通过注册表子项表示服务/驱动的类型<br />1<br />A kernel-mode device driver.内核级设备驱动程序<br />2<br />A file system driver.文件系统驱动<br />4<br />A set of arguments for an adapter.适配器驱动（如鼠标键盘、磁盘驱动器

转载 反调试花指令

<br />push ********<br />mov eax,dword ptr fs:[0]<br />push eax<br />mov dword ptr fs:[0],esp<br />mov esi,0<br />mov eax,dword ptr ds:[esi]<br />其中*********的地方是你要跳转的地址<br />~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br />push ********<br />mov eax,dword ptr f

原创 Windows网络体系结构总结

    在介绍Windows网络体系架构之前，我首先介绍一下Windows中的两个重要编程规范——TDI，NDIS.，然后再介绍网络体系的架构。TDI，Transport Driver Interface，传输驱动程序接口。/Windows/System32/Drivers/Tdi.sys在实现网络API驱动程序时，由于牵涉到很多不同协议，会用到不同协议驱动提供的接口，使得开发的工作复杂化

原创 VS2005的word2003 VBA编程

在VS2005上进行VBA编程是实现文档处理自动化的一种方式，以下是我对VBA开发的一次总结，希望对大家有所帮助：1.         添加所要操作的MS Office组件文件olb，在“添加新类”中选择“TypeLib中的MFC类”，选择文件为类的来源，找到MS Office的安装文件夹（C:/Program Files/Microsoft Office/OFFICE11/）选择你想操作的项

翻译 避免使用GUID错误 error LNK2001: unresolved external symbol

刚刚用VS2005编写一个驱动程序，出现了error LNK2001: unresolved external symbol GUID****     错误。在网上搜索了好一个会儿，终于在Microsoft support中找到了。正确初始化GUID的方法有两种：     1. 如果在预编译头文件中定义，在定义GUID前加上头文件initguid.h                #i

原创 Event 在kernal mode与user mode之间的通信

用事件Event在kernal mode与user mode之间进行通信，我们一般的做法是在kernal mode中定义Event，标记上名字，然后在user mode中打开这个Event，代码如下：kernal mode：                    UNICODE_STRING    EventName=NDIS_STRING_CONST("beauty");      

原创 VS2005+DDK2003+DriverStudio3.2 驱动开发环境配置