自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(16)
  • 资源 (2)
  • 收藏
  • 关注

原创 windows命令行调试器+进程转储工具

文章目录工具介绍适用场景工具获取用法示例命令行语法脚本配置Settings 部分Exceptions 部分Breakpoints 部分参考文档工具介绍CDB.exe 及 ADPlus.exe 在 WinDbg.exe 同目录下;CDB.exe 是 Windows 控制台调试器,不具有图形用户界面;ADPlus.exe 自动化了 CDB.exe 的调试操作;ADPlus.exe 可以部署在生产环境,对性能几乎无影响;ADPlus.exe 可以根据配置自动生成内存转储和日志文件。监视异常类型:

2020-12-22 16:06:26 38

原创 Windows内核驱动Hook入门

文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分

2020-07-16 16:15:28 1437

原创 调试器与被调试进程的拆离以及结束被调试进程的实现

文章目录拆离调试器与被调试进程调试器退出时拆离被调试进程结束被调试进程网上很多帖子讲解调试器的理论、架构与实现,但是很少有帖子涉及到调试器与被调试进程的拆离以及如何结束被调试进程(换了百度、谷歌、必应均没有搜到相关的帖子)我在这里简单说一下实现拆离调试器与被调试进程调用windowsAPI DebugActiveProcessStop 停止调试器调试指定的进程BOOL DebugActiveProcessStop( DWORD dwProcessId);参数进程ID 可以在调试器

2020-06-12 17:58:38 323

原创 Win10+VirtualKD+WMware15 不兼容之解决方案

最近在使用 WMware 中遇到一些问题,Win10 1909 与 WMware 不兼容,更新WMware到最新15.5.2,虚拟机是好了,但是双机内核调试的神器 VirtualKD-3.0 不好使了,勉强用COM 虚拟串口方式连接,因为是复制的虚拟机,卡到自闭一个单步指令,往往需要三五分钟大好青春年华,怎能舍得虚度,通过一番查找 发现了大佬的项目 VirtualKD-ReduxVirtualKD-Redux 的用法 与 VirtualKD 一致,而且还支持...

2020-05-28 19:21:58 1369 12

原创 C C++ 调试信息输出

C C++ 调试信息输出日志输出将调试信息写入日志将调试信息和值写入日志将错误信息输出到日志Dbgview输出输出调试信息到 Dbgview日志输出将调试信息写入日志/* 日志记录 */void WriteMsgToLog(LPCTSTR Msg) { FILE* file = NULL; fopen_s(&file, LOGFILE, "a+"); if (!file || !Msg) { return; } fprintf_s(fi

2020-05-25 18:44:56 172

原创 C 隐藏 桌面、任务栏、资源管理器

通过窗口来实现隐藏 桌面、任务栏、资源管理器用户通过任务管理器启动或重启资源管理器依旧无法打开资源管理器,也不能看到桌面和任务栏但是窗口会一闪而过,如果想无感隐藏,建议通过 hook explorer.exe 来实现直接可编译代码,自取#include <tchar.h>#include <windows.h>#include <TlHelp32.h>#pragma comment( linker, "/subsystem:\"windows\

2020-05-25 18:03:21 178

原创 反射式dll注入(ReflectiveDLLInjection)
原力计划

学习基于stephenfewer大佬的项目:ReflectiveDLLInjection有兴趣的同学可以下载研究

2020-04-30 11:39:04 591 1

原创 windows服务守护进程
原力计划

windows服务守护进程为什么选择用服务来守护进程注册服务双服务互相守护服务启动进程并保活启动进程进程保活最近做一个项目,保护我们云电脑中的计费程序等应用程序、脚本,不被用户结束。综合各种方案,最终选择了双服务互相守护,服务1监管我们的计费程序不被用户结束。为什么选择用服务来守护进程大多数Windows服务是以SYSTEM用户启动的;拥有最高的权限,例如:无需UAC就能以管理员权限...

2020-04-29 13:55:29 856

原创 WindbgPreview 分析dmp 文件
原力计划

实现一个可以生成dmp文件的代码代码可直接复制、编译#include <iostream>#include <windows.h>#include <dbghelp.h>#pragma comment (lib, "dbghelp.lib")#include <conio.h>#include <tchar.h>using...

2020-04-27 18:33:47 1832 3

原创 C语言 fseek、_fseeki64返回成功,文件指针被指向错误位置 解决思路

遇到的问题:之前写一个文件重定向沙盒,文件变动记录在一个链表中,为了解决突发情况下(例如:物理机重启),沙盒被意外关闭可以还原遂将链表记录在文件中我们的沙盒产品目的是为了运行游戏,而游戏追求效率我在优化代码时,将每次写入时,打开文件,写结束后,关闭文件改为沙盒启动时,打开文件,拿着句柄每次检查句柄后,写入沙盒退出时,关闭文件调试时发现,沙盒不能正确恢复检查发现了一个新问题,调...

2020-04-21 20:00:53 331

原创 Pnp即插即用设备驱动 自动安装程序 C C++实现

环境准备:VMware Workstation 14 Prowin10Pro x64 虚拟机VS2019虚拟机中安装:VS远程调试程序 msvsmonx64dbgWindows驱动程序样本/devcon(源码)下载后,在VS中打开,报一大堆错误,是因为缺少msg.h文件,无需理会,直接 release x64编译会在生成目录生成msg.h文件,拷贝到代码目录,添加到头文件中,即可...

2019-11-26 13:56:46 518

原创 VMware Workstation Pro 打不开xxx\.xxx.vmkd文件,系统找不到指定的文件

开始查了很多资料,百度能搜到的都是检查服务,修改.vmx文件,未能解决实际问题后翻墙查了一些论坛,提供了一个新的思路,首要 从病毒防护软件扫描中排除* .vm *文件果然,我查看系统通知栏,有了惊奇的发现点击Windows Defender,进入后,还原被查杀的文件即可。还有,记得还原,从百度上看到的误操作。...

2019-11-08 15:51:36 1037

原创 文件过滤驱动之文件隐藏

先看结果:创建测试目录 C:\test 创建不同类型的文件管理员权限启动cmdsc start 启动 minifilter 驱动调用HideFile.exe 传入指令,操作类型 目录 文件类型(文件类型可以传 * 则隐藏目录下所有文件)右键刷新 test 目录管理员权限调用WinAPI FindFirstFile FindNextFile 遍历 C:\tes...

2019-11-07 19:24:26 418

原创 KMDF驱动 手动安装与卸载

最近要实现一个虚拟游戏手柄驱动,在网上下载了ViGEm的源码进行修改,虚拟游戏手柄驱动源码https://github.com/ViGEm/ViGEmBus编译通过后 多种途径尝试安装,均失败windows大部分驱动安装方法都不一样,网上查了很久都是设备的增删,没有驱动的安装与删除我分享一下经过大量尝试,找到的安装与卸载的方式测试环境:主机:win10 1903测试机: win10 ...

2019-10-29 09:45:05 1085

原创 Minifilter通过inf文件安装

若安装未签名的驱动程序时:cmd管理员权限运行,执行以下命令开启测试模式:bcdedit /set testsigning on重启即可生效安装右键.inf文件,点击安装右键.inf文件安装,实质是,将.sys文件拷贝到C:\Windows\System32\drivers 目录下启动和停止启动和停止驱动,还需以管理权限启动cmd,执行以下命令:卸载删除驱动卸载与删除,手...

2019-10-15 16:37:57 302

原创 WindbgPreview双机内核调试

WindbgPreview 双机调试 内核调试 WIN10

2019-08-13 19:01:22 1950 5

FileFilter.zip

win10 1803 64位系统,文件过滤驱动 隐藏指定文件,三环下应用程序调用windowsAPI获取不到被隐藏的文件。 添加白名单进程,可以看到被隐藏进程 文件是debug64编译,驱动未签名,仅供虚拟机开启测试模式使用,测试前请保存快照

2019-11-07

DisableResolution.zip

解压后,将文件 DisableResolution.sys DisableResolution.cmd ShowResolution.cmd 放在同一目录下 双击运行 DisableResolution.cmd 即禁用分辨率设置 双击运行 ShowResolution.cmd 即恢复分辨率设置 Win10 x64 已测试版本(未测试版本请在虚拟机中使用) 1703 1709 1803 1809 1903 1909

2020-06-30

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除