- 博客(37)
- 收藏
- 关注
RSS订阅转载 常用功能性代码
来自:http://blog.csdn.net/chence19871/article/details/37881101一些在编程中经常要用到的功能编写成函数,方便使用.[cpp] view plaincopy#include //系统类型 typedef enum SystemType { WINDOWS_2000 = 1, //5.
2015-05-11 22:52:28
641
转载 windows笔记-跨越进程边界共享内核对象【复制对象句柄】
来自:http://www.cnblogs.com/fangyukuan/archive/2010/08/31/1813949.html跨越进程边界共享内核对象有三种方法:对象句柄的继承性命名对象复制对象句柄复制对象句柄共享跨越进程边界的内核对象的最后一个方法是使用BOOL DuplicateHandle( HANDLE hSource
2015-05-11 22:49:14
454
转载 调试堆的一点小收获
来自:http://blog.csdn.net/chence19871/article/details/6664125看过《0day安全:软件漏洞分析技术》的童鞋们都知道在内存中的堆分两种情况,一种为常态堆,另一种为调试态堆。但自己以前在调试的时候并没有深刻领会到这一点。今天在调试的时候偶然间深刻领会到这一点。下面分两种情况来查看堆块的内存结构:1. 常态堆先打开P
2015-05-11 22:29:52
520
转载 DLL劫持防御策略
来自:http://blog.csdn.net/chence19871/article/details/38087155DLL的搜索路径顺序: · The directory from which the application loaded.· The system directory.· The 16-bit system directory.·
2015-05-11 21:26:04
2345
转载 制作WINRAR自解压windows环境说明
WINRAR 的帮助文件中没有对自解压路径和系统的环境变量之间作说明,所以,很多人只知道,其自解压路径可以智能定位到系统的 PROGRAM FILES 目录,而不知道它其实还可以智能定位到系统的任何地方:%SystemDrive% 操作系统所在的分区号。如 C: %SystemRoot% 操作系统根目录。如 C:\WINDOWS %windir% 操作系统根目录。如 C:\
2015-05-09 16:48:30
622
转载 保护模式编程 & 系统描述符表GDT、LDT、IDT、系统描述符
保护模式内存管理保护模式及其编程——分页机制保护模式编程——保护的详尽意义:通过调用门转移特权级保护模式及其编程——任务管理任务门,调用门,中断门,陷阱门CPL DPL RPL的区别 &&一致性代码段和非一致性代码段保护模式编程之(一)——分段机制与GDT/LDT【原创】
2015-05-06 19:14:12
606
转载 差异分析定位Ring 3保护模块
来自:http://blog.csdn.net/broadview2006/article/details/8782748由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。在分析的过程中,为了防止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,
2015-05-05 10:30:24
789
转载 《重要》从用户模式切换到内核模式的完整过程分析
Windows定义了两种访问模式:用户模式和内核模式。应用程序代码运行在用户模式下,操作系统代码运行在内核模式下。内核模式对应处理器的最高权限级别。在内核模式下执行的代码可以访问所有资源并可以执行所有特权指令。用户模式具有较低的优先级,用户模式只能访问用户空间,且不能执行特权指令。如果用户代码不慎访问了系统空间的数据或执行了特权指令将会导致保护性异常的发生。但是用户代码可以通过调用系统服务
2015-05-03 18:52:25
4803
转载 KiFastCallEntry() 机制分析
目录(?)[+]1. 概述从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003 里反汇编出来,写成 C 伪码形式,点击这里察看:KiFastCallEntry()在下面的篇章里,我将分析从 Wi
2015-05-03 18:10:33
580
转载 SSL/TLS -- 网络通信的马奇诺防线?
** 版权声明:版权为Lenx Wei (http://lenx.100871.net)所有,转发务必保留此声明** Jun 23, 2013SSL及其后继TLS一直以来肩负着应用层通信安全性的重任,也是Internet上应用最广泛的安全协议。很多人认为通信只要用SSL保护住了,就一切无忧。但实际上对它的攻击研究从来没有中断过,也不断的有问题被发现。最容易想到
2015-05-03 12:07:16
522
转载 信息安全技术相关的五个误解与谎言
来自:http://qing.blog.sina.com.cn/1891235985/70b9f891330038ps.htmlby Lenx Wei, http://lenx.100871.net2013.31. 软件爆出了漏洞,打上补丁以后就安全了。真相:软件爆出一次漏洞,往往意味着会持续爆出漏洞。其频度和软件安全质量强相关。建议:尽量选择安全声誉好的软
2015-05-03 12:02:53
539
转载 过NtOpenProcess保护的方法总结
来自:http://blog.csdn.net/jepco1/article/details/5531449过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。反此类保
2015-05-03 09:20:31
2080
转载 OD内存断点
来自:http://blog.csdn.net/dasgk/article/details/9250073内存断点原理:OD会对所设置地址设置为不可访问或者不可写属性,这样挡程序试图访问或者写入时就会产生异常,OD在截获这种异常后比较地址是否是设置的断点地址,这种方式会对程序的运行速度有很大的影响,所以只允许设置一个内存断点,但是在找到内存断点后可以使用一般的断点(这个是可以设
2015-04-27 19:21:09
2888
转载 一个COM例子
来自:http://hi.baidu.com/starloooooove/item/df8a17ad8f7893aa29ce9dc5学习DX一堆接口之前的知识补充,小的不能再小了。一个COM对象实际上就是实现大量界面的C++类或者是一套C++类, 一个界面就是一套函数。如图:一个COM对象,有IGRAPHICS、ISOUND和IINPUT三个界面。每一个界面都有大量的函
2015-04-27 16:52:19
412
转载 ntdll.dll和ntoskrnl.exe中的NT*和ZW*函数区别
来自:http://blog.csdn.net/sysprogram/article/details/5805265以NtOpenProcess和ZwOpenProcess为例,结合Windbg的lkd调试来说明1、Q:ntdll.dll中的Nt*和Zw*区别?lkd> u ntdll!zwopenprocess l4ntdll!ZwOpenProcess:7c
2015-04-13 22:16:11
677
转载 detours使用:detours3.0文档翻译
来自:http://blog.csdn.net/buck84/article/details/8289991目录(?)[-]拦截二进制函数使用DetoursPayloads和DLL导入编辑Detour 32位和64位进程拦截二进制函数 Detours库可以在运行过程中动态拦截函数调用。detours将目标函数
2015-04-07 11:49:25
1217
转载 关于如何读取指定对话框输入框中内容
最近在论坛上看到一个帖子,读取输入框中的内容,我也正在做这方面东西,于是就动手做了一下,原本以为很简单的东西,实际着手去做的时候倒是遇到了不小的麻烦。 首先想要获得一个未知的对话框的EDIT控件的内容无非就是几个步骤:1,获得所要获得内容的句柄2,获得控件句柄3,获得控件内容 第一步没什么好说的关键在于第二步和第三步,我上网查了好多资料,可就是不能得到重
2015-04-06 20:53:33
907
转载 一个带命令行解析功能的console程序框架
这个程序的代码对于很多linux程序员应该是很熟悉的,仿照linux实现了命令行参数解析器,所以提供一个框架程序,以后再写类似代码的时候直接在本框架的基础上修改就是了。[csharp] view plaincopy#include "GetOpt.h" #include using namespace std; const char* p
2015-04-06 18:50:11
598
转载 为什么某些壳脱壳后需要修复IAT?
来自:http://bbs.pediy.com/showthread.php?t=151939为什么要修复IAT?首先得说一下程序调用DLL导出函数的原理,PE调用DLL里的函数,一般是先加载这个DLL模块到它的进程地址空间,然后在加载后的地址范围内找到每个调用函数的地址,在程序中你可以使用LoadLibrary()这个系统API去动态去加载某个DLL,再通过G
2015-04-04 19:33:07
3324
转载 如何让win32 Application显示输入框
来自:http://blog.csdn.net/yiyefangzhou24/article/details/7460761 很多人纠结如何在win32 application下显示一个类似这样的输入框。而win32下又不兼容MFC的内容怎么办?可能我们就需要自己写这个对话框了。首先将这个对话框画好作为资源保存到我们的win32程序中,具体做法如下:1, 创建一个
2015-04-04 17:47:45
2070
转载 论用C++做壳
标 题: 论用C++做壳作 者: dogwang时 间: 2006-03-03,17:16:15链 接: http://bbs.pediy.com/showthread.php?t=22079在坛子里面混了很久了,这里面90%都是破解,很少有加壳的文章.我自己对加壳很感兴趣,所以就自己动手做了个壳,当然这其中也得到了其他人的一定帮助,我想把我的经验分享一下.1. 加壳语
2015-04-04 16:14:50
2039
转载 Windows DLL文件的加载过程[简述]
来自:http://bbs.pediy.com/showthread.php?p=1268415#poststop 在windows中exe可执行程序运行时都会调用一些DLL,例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢?通常,大家都知道在编写dll时会有一个DLLMain的入口函数,但是实际上这个函数并不是调用dll时最先的
2015-04-04 15:50:46
3649
转载 一种保护应用程序的方法 模拟Windows PE加载器,从内存资源中加载DLL
标 题: 【原创】一种保护应用程序的方法 模拟Windows PE加载器,从内存资源中加载DLL作 者: shangzh时 间: 2012-04-12,23:14:51链 接: http://bbs.pediy.com/showthread.php?t=149326一种保护应用程序的方法-模拟Windows PE加载器,从内存资源中加载DLL 作者:老实和尚 cove
2015-03-29 16:54:55
3587
转载 比较汇编指令 LEA 和 MOV
转自:http://www.cnblogs.com/polymorphism/archive/2011/12/12/2285334.html先介绍几条背景知识:1. MOV 的右值必须是常量,而不能是表达式,比如可以写MOV EAX, EBP,但不能写MOV EAX, EBP + 8这是因为EBP + 8本身也需要一条指令来计算,所以不能跟MOV写在一条指令里。
2015-03-29 11:23:44
690
转载 Windows C++代码heap分析详解
上次写了一篇文章,Windows代码heap内存分析实战由于时间的关系,写的不是很详细,于是有朋友建议写的详细些,于是有了本文。 Windows C++代码heap分析详解Windows代码占用的内存主要是堆和栈,其中栈内存又被称为自动内存,一般为系统自动管理,所以常见的问题主要发生在堆内存上。系统中如果分配了堆内存而不释放,或者错误释放,都会产生问题。首先来分析一下堆内存
2015-03-27 17:32:47
837
转载 一句话总结Windbg 32位版本和64位版本的选择
来自于:http://www.cnblogs.com/pugang/archive/2012/11/16/2772651.html用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉
2015-03-27 17:07:49
337
转载 内存详解
来自于:http://www.cnblogs.com/georgepei/archive/2012/03/07/2383548.html前一篇文章介绍了任务管理器中关于内存的两个重要概念:private和working set。但是内存远不止那么简单,下面我根据VMMap来详细介绍一下内存的分类。内存是一个很复杂的系统,其中的paging file,sharable memor
2015-03-27 16:47:26
477
转载 你真的懂任务管理器中有关内存的参数Private(提交大小)和working set(工作设置)吗?
来自于:http://www.cnblogs.com/georgepei/archive/2012/03/07/2383445.html任务管理器中跟内存相关有两个重要的指标Private(提交大小)和working set(工作设置)。如下图所示:这两个指标在process explorer中叫做Private Bytes和Working Set。而在VMMap中,他
2015-03-27 16:34:56
1121
转载 关于kernel32基地址获取
[-]关于kernel32基地址获取一shellcode获取kernel32dll基地址二获取当前进程的PID 文件名 以及完整路径关于kernel32基地址获取http://joychou.sinaapp.com/index.php/Reverse/teb.html一、shellcode(获取kernel32.dll基地址)首先了解TEB,
2015-03-27 15:07:46
4992
转载 C++反汇编揭秘2 – VC编译器的运行时错误检查(RTC)
[-]Runtime CheckingRTCc开关RTCu开关RTCs开关Debug模式下初始化变量为0xcc检查数组变量的Overrun检查ESP我在上篇文章举了一个简单的C++程序非常简略的解释C++代码和汇编代码的对应关系,在后面的文章中我将按照不同的Topic来仔细介绍更多相关的细节。虽然我很想一开始的时候就开始直接介绍C++和汇编代码的对应关系,不过由于VC编译器
2015-03-25 11:17:01
594
转载 Calling Convention的总结
因为经常需要和不同的Calling Convention打交道,前段时间整理了一下它们之间的区别,如下: 清理堆栈参数压栈顺序命名规则(MSVC++)备注Cdecl调用者 (Caller)从右往左 FuncName因为是调用者清理Stack,因此允许变参 (如pr
2015-03-25 10:47:50
264
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人