- 博客(17)
- 资源 (67)
- 收藏
- 关注
RSS订阅原创 Unicode转Ansi
最近在研究wrk代码。在进行windows开发中时常会碰到宽字节转成单字节的问题,微软提供了一个方便的宽字节和单字节之间转换的函数,不仅如此含有转换成其他字符编码的功能,总的说来很强大。我们知道unicode其实就是宽字节类型存储的,在表示中文字符时使用的就是宽字节,而英文字符在宽字节中存储在第一位是ascii码值后一位补零出来。知道这个之后原理之后,我们就可以知道如何进行将unicode转
2009-08-31 11:45:00
971
原创 根据可执行文件名,获得这个文件的图标
根据可执行文件名,获得这个文件的图标 SHFILEINFO shFileInfo = {0}; ::SHGetFileInfo(szProcessPath,0,&shFileInfo,sizeof(SHFILEINFO),SHGFI_ICON); shFileInfo.hIcon保存的,就是这个可执行文件的图标句柄,可以直接拿来用 比如调用CImageList的成员函数int CImage
2009-08-28 12:53:00
842
转载 抹掉所有进程中自己的句柄(源代码)
之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:void CloseAllmyHandles(){
2009-08-24 19:00:00
1136
转载 内存清零KILL进程
#include #include #include #include #pragma comment (lib,"Kernel32.lib")#pragma comment (lib,"Advapi32.lib")#pragma comment(linker, "/ENTRY:main")//------------------ 数据类型声明开始 --------
2009-08-24 18:57:00
1406
1
转载 现代dump技术及保护措施[Ms-Rem](下)
Dynamic unpacking另一种对付dump的常用方法就是的dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要进行完时protector对异常进行拦截并unpack所请求的页,这时它就可以将上一页从内存中删除。这样受保护进程的image在内存里从来都不曾完整过,因此一般的dumper是没
2009-08-24 18:56:00
833
转载 现代dump技术及保护措施[Ms-Rem](上)
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
2009-08-24 18:53:00
745
转载 SystemCrashDumpStateInformation加载驱动
使用如下代码可将系统中的atapi.sys (如果你的机器磁盘PORT驱动是atapi.sys的话,如果是scsiport的话会有不同)加载到系统中。模块名为dump_atapi.sys(如果已配置了生成dump则无法生效)HMODULE hlib = LoadLibrary("ntdll.dll");PVOID p = GetProcAddress(hlib , "NtSetSystemIn
2009-08-24 18:51:00
702
转载 Zw函数与Nt函数的分别与联系
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。N久前的我,也是相当的迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。 ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpe
2009-08-24 15:02:00
1226
原创 fs寄存器 资料
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址(TEB)020 进程PID024 线程ID02C 指向线程局
2009-08-24 14:31:00
1639
1
原创 如何从进程名获得进程ID
#include #include "ntifs.h"HANDLE RetrivePID( char* ProcessName ){ PEPROCESS PeProcess = NULL; PLIST_ENTRY pNextEntry, pListHead; PeProcess = PsGetCurrentProcess(); if(!PeProcess)
2009-08-24 14:27:00
1816
转载 Hook SSDT
#include "ntddk.h"#define NT_DEVICE_NAME L"//Device//ProtectProcess"#define DOS_DEVICE_NAME L"//DosDevices//ProtectProcess"#define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFE
2009-08-24 14:13:00
880
转载 用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
2009-08-24 13:42:00
5620
转载 如何隐藏显示在任务栏中的对话框程序
最近有个朋友做了一个基于对话框的小程序,大家知道,一般具有用户界面的 Windows 程序运行起来后,通常都会在任务栏里体现出来。我的这个朋友不想让她做的对话框程序运行的时候显示在任务栏里。问我如何隐藏?我参考了 MSDN 后告诉她说使用 WS_EX_TOOLWINDOW 扩展窗口式样。她按照我说的方法试了一下,结果没有成功。后来我琢磨了半天,发现这件事情并不像文档中说的那么简单。MSDN
2009-08-20 16:42:00
1277
原创 改变窗口外观
在www.vckbase.com中有一些介绍,如何改窗口外观。我就不赘述了。可以多看看代码。我这里给出一个将对话框改成圆角对话框的代码。其实主要是设置对话框区域。你也可以化成多边形的。 //创建圆角矩形窗口 CRect rcDialog; GetClientRect(rcDialog); // The following code Creates the area and a
2009-08-20 10:08:00
838
原创 窗口贴图
如何贴图了,懒得说了。反正就是使用BltBit或者StretchBlt。代码DisplayStretchDDB(CDC *pDC, UINT uResID, CRect rect){ CDC dcMem; //建立内存设备 dcMem.CreateCompatibleDC(pDC); //使内存设备和pDC设备兼容 CBitmap bitmap;
2009-08-20 09:56:00
947
原创 如何实现窗口的淡入淡出
窗口的淡入淡出,方法很多,可以自己实现。也可以通过使用AnimateWindow(),这个方法很简单。只要在窗口的OninitDialog或者OnClose中添加下面的代码就可以了。 //窗口谈入 AnimateWindow(1500,AW_BLEND); //窗口谈出 AnimateWindow(2000, AW_BLEND | AW_HIDE);
2009-08-20 09:51:00
685
原创 如何让窗口停放在桌面的右下角
其实这个问题很好解决,代码也就只有几行。首先就是获取桌面工作区,然后获取窗口本身区域,进行计算之后通过移动窗口就搞定了。MoveToBottom(){ CRect rcDesktop,rcWin,rc; SystemParametersInfo(SPI_GETWORKAREA,0,&rcDesktop,0); //获取桌面大小 GetWindowRect(rcWi
2009-08-20 09:46:00
858
Compuware Devpartner Studio 9.0.2 Professional 种子和破解文件
2010-11-02
微软过滤驱动内存管理smbios说明等技术文档
2010-04-09
icrosoft Windows Internals Fourth Edition(2004).chm
2009-04-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人