- 博客(15)
- 收藏
- 关注
转载 get COM interface method address .
在r3 hook之前, 需要得到API地址.如果要 hook 的是COM接口中的方法, 得到API地址的方法和得到普通Win32API地址的方法不同.[cpp] view plaincopyprint?/// @file prjGetComInterfaceMethodAddr.cpp /// @brief 得到COM接口方法
2013-12-30 00:45:25 1023
转载 WIN7 下 explorer 进行的文件移动COPY HOOK
在 WinXP 下通过HOOK explorer来截获用户的复制,剪切,粘贴是很容易的。只需要HOOK以下三个API:CopyFileExW, MoveFileWithProgressW, ReplaceFileW,至于 MoveFileA等函数,最终也是调用这三个函数,这点可以通过用IDA反kernel32.dll分析得来。但在WIN7下却不是这个回事了,我使用上
2013-12-30 00:30:06 5758 4
转载 c++继承中的内存布局 .
今天在网上看到了一篇写得非常好的文章,是有关c++类继承内存布局的。看了之后获益良多,现在转在我自己的博客里面,作为以后复习之用。——谈VC++对象模型(美)简.格雷程化 译 译者前言 一个C++程序员,想要进一步提升技术水平的话,应该多了解一些语言的语意细节。对于使用VC++的程序员来说,还应该了解一些VC++对于C++的诠释。 Inside the C++ Objec
2013-12-29 20:57:41 591
转载 Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取 .
为什么要写这篇文章1. 因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。2. 碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数3. 刚刚做完毕业设计,对
2013-12-27 11:09:13 872
转载 动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述 .
动态链接库的静态链接导致程序的DLL劫持漏洞借助QQ程序xGraphic32.dll描述 不想啰嗦这么多了,直接开题。 一、 库首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
2013-12-27 11:08:04 1210
转载 WDK _WdmlibIoCreateDeviceSecure 连接出错
今天写驱动,链接总是出现error LNK2019: unresolved external symbol _WdmlibIoCreateDeviceSecure@36 referenced in function _DriverEntry@8但是在DriverEntry没找到_WdmlibIoCreateDeviceSecure,里面只有IoCreateDeviceSecure,CT
2013-12-16 09:43:48 3125
转载 Virtual Disk Drivers, UAC and NT
Macrium Reflect, as you may know, has the ability to mount your backup images as drives in Windows Explorer. We do this via a device driver which presents your image as a disk drive to the system.On
2013-12-13 17:53:23 1179
转载 如何把符号链接创建到Global名字空间
应用程序可以调用DefineDosDevice来创建符号链接,但是创建出来后有时候在session里面。为了创建到Global中,有两种方法,一是将应用程序提升到系统权限,作为system运行,类似于服务的处理;一种是建一个驱动,通过发IOCTRL到驱动,然后驱动调用IoCreateSymbolLink/IoDelSymbolLink来实现。
2013-12-13 17:45:33 888
转载 关于盘符的加载与卸载
现象: 最近在编写WinXP SP2系统下的虚拟磁盘驱动,通过DefineDosDevice将虚拟盘挂载到计算机上,显示出盘符。测试的时候,把一些exe文件放进去,看能不能正常执行,大部分exe都执行良好,但在执行devicetree.exe的时候出现了问题,弹出对话框显示objinfo驱动无法启动,然后退出。分析: devicetree.exe本身只有一个文件就能运行,没
2013-12-13 17:24:29 2861
转载 Your DbgPrint or KdPrint messages don't appear in WinDbg (or KD) when you run your driver on Windows
The problem: Your DbgPrint or KdPrint messages don't appear in WinDbg (or KD) when you run your driver on Windows Vista.The reason? Vista automatically maps DbgPrint and friends to DbgPrintEx. Now
2013-12-13 13:40:36 1070
转载 error U1087: cannot have : and :: dependents for same target .
DDK下build -c错误:error U1087: cannot have : and :: dependents for same target 被build的source code所在path不能含有空格.
2013-12-13 13:18:08 672
转载 注册表函数Hook失败
最近在做一个功能的时候,发现无往不利的Detours在Hook几个注册表函数的时候,竟然失败了,但又不是完全地失败。具体表现是,在程序最开始处Hook上RegQueryValueExW,在整个程序运行的过程中,只有一部分调用进行了我自己实现的方法中,而有一部分调用却没有进入。前前后后猜了很多原因,一开始以为是调用了SHQueryValueEx、RegEnumRegQueryMu
2013-12-11 14:20:22 2440
转载 Debugging USER object leak
We had an odd user object leak happening in our product. One of the part of the product has an ActiveX control inside of a webpage that user can use to interact with the product. If user continuously
2013-12-10 11:19:57 2109 1
转载 用 Windows XP 的两个强有力的工具在您的代码中检测并堵塞 GDI 泄漏
用 Windows XP 的两个强有力的工具在您的代码中检测并堵塞 GDI 泄漏 0(共 1)对本文的评价是有帮助- 评价此主题发布日期 : 12/20/2004 | 更新日期 : 12/20/2004Christophe Nasarre本文假设您熟悉 Win32 和 C#下载本文的代码: GDILeaks.exe (13,279KB) 摘要
2013-12-10 11:18:43 968
转载 几种跳转指令和对应的机器码
几种跳转指令和对应的机器码0xE8 CALL 后面的四个字节是地址0xE9 JMP 后面的四个字节是偏移0xEB JMP 后面的二个字节是偏移0xFF15 CALL 后面的四个字节是存放地址的地址0xFF25 JMP 后面的四个字节是存放地址的地址0x68 PUSH 后面的四
2013-12-06 11:12:04 15197 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人