笔记
文章平均质量分 77
xyooyy_xyooyy
这个作者很懒,什么都没留下…
展开
-
window 2000动态切换进程内存空间
首先检查目标线程是不是当前线成 然后将切换的目标进程堆栈+1 之后保存当前线成apc到SavedApcState 初始化当前线程的apc链 其中包括内核链和用户链 InitializeListHead(&Thread->ApcState.ApcListHead[KernelMode]); InitializeListHead(&Thread->ApcState.ApcListHead[Us原创 2006-03-20 02:55:00 · 603 阅读 · 0 评论 -
写了几个函数 来防止ntfs.sys被hook
日子无聊的很 还好电脑总是最听话的 你叫他玩游戏 他不会看电影哈哈 至少很少说谎 以后找女人也要找这样的ULONG get_funaddr(ULONG* pdriver_entry,ULONG major_function) { int i=0; ULONG function=0; ULONG index = major_function*4+0x38; //找到所对应的原创 2006-04-05 14:08:00 · 1069 阅读 · 0 评论 -
人脑与电脑
电脑不具备思考能力。 如果说人是高等动物的话,相对于低等动物来说,人有很强的思考能力,和大脑天然优势,比其他任何一个地等动物具有更大,具有更多的细胞 然后熊和人类大脑是最接近的,熊缺不具备思考能力。人所具备的想象能力是其他动物所不具有的。 如果思考是一棵多藤,多根的大树。笨笨的电脑自然会选择遍历,来耦合所要寻找的或者是证明的结果。(在我看来实在是一种碰运气的做法) 因为原创 2006-04-12 02:04:00 · 648 阅读 · 0 评论 -
假期结束之前,,,
这是我前阵子做的一个ndis驱动 通过ndis hook读取数据包中的内容 然后分析如果是我们构造的是数据报 则把其中的shellcode插入到apc队列当中 还不能够执行过长的shellcode 超过一个包的长度 再结构中保留了其中需要的数据结构 通讯的包使用的是udp数据报结构 源代码: http://my.opera.com/xyooyy/homes/fil原创 2006-08-30 21:59:00 · 583 阅读 · 3 评论 -
没有对ntfs.sys hook的情况下有效的枚举文件
编写一个线程 用来对文件进行枚举typedef struct _THREAD_EVENT{ KEVENT most_wait_thread;//这里是主线程唤醒辅线程时 主线程对待的互迟量 KEVENT hyp_wait_thread;//这时主线程唤醒辅线程的互斥量 WCHAR* file_name;//要枚举的文件夹 PVOID in_buffer;//进行枚举后文件结构所原创 2006-04-17 22:06:00 · 807 阅读 · 0 评论 -
进程地址空间中的可确认的内存区域(windows2000)
起始地址 结束地址 十六进制大小 类型 / 描述 0x00000000 0x0000FFFF 10000 底部的受保护块( Lower guard block ) 0x00010000 0x0001FFFF 10000 WCHAR[]/ 环境字符串,在一个 4KB 页中分配 0x00020000 0x0002FFFF 10000 PROCESS_PARAMETERS/ 在一个 4KB原创 2006-04-25 19:10:00 · 763 阅读 · 0 评论 -
Windows磁盘驱动基础教程
转自 http://bbs.zndev.com/htm_data/39/0508/96456.html摘要 本文讲述Windows磁盘驱动的主要结构功能与编写方法基础。本文描述的内容仅限于软件层面,并不与具体的硬件相关。1.磁盘驱动基础 不少人把文件系统驱动和磁盘驱动混为一谈。实际上文件系统驱动应该与磁盘驱动是两类不同的驱动程序。文件系统仅仅考虑数据在存储设备上的保存格转载 2006-04-28 21:43:00 · 1306 阅读 · 0 评论 -
证明堆的不安全性
前几日 研究堆本希望叫我同学明白 堆是不安全的 他不信我 讲又讲不明白他 于是狂骂之 今日无聊 写了个程序给他讲 白痴终于开窍了。。。 基本理论情况是满清楚的 一直没有写过着得东西 本不想搞这些东西 最终也抵制不了自己的好奇 人啊 真是个贱东西 me too———————————————————————————#include "stdafx.h"#incl原创 2006-05-09 14:21:00 · 575 阅读 · 0 评论 -
windows 2000 堆管理的一点心得和体会
windows 2000堆管理 较为复杂 基本是通过三种方式来管理堆 分别是sidealook freelist cache freelist是个双向连表 把同样大小的空闲的对快连接到一起 freelist ------------------->0x0 这里是大于1024的空闲堆 0x01原创 2006-05-06 01:38:00 · 1050 阅读 · 0 评论