- 博客(37)
- 资源 (54)
- 收藏
- 关注
转载 POP3&SMTP
应用层协议POP3&SMTP(2008-12-30 11:56:24)标签:网络 杂谈 POP3,全名为“Post Office Protocol - Version 3”,即“邮局协议版本3”。是TCP/IP协议族中的一员,由RFC 1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的PO
2009-06-24 16:33:00 1799
转载 http
应用层协议HTTP(2008-12-30 11:53:12)标签:网络 杂谈 超文本传输协议(HTTP,HyperText Transfer Protocol)是因特网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。HTTP的发展是万维网协会(Wo
2009-06-24 16:32:00 646
转载 传输层协议TCP&UDP
传输层协议TCP&UDP(2009-01-18 12:18:37)标签:tcp udp 传输控制协议(Transmission Control Protocol, TCP)是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议,由IETF的RFC 793说明(specified)。在简化
2009-06-24 16:17:00 3375 1
转载 网络层协议IP(IPV4&IPV6)
网络层协议IP(IPV4&IPV6)(2009-01-18 12:21:35)标签:ip 杂谈 网际协议(Internet Protocol,缩写:IP),或互联网协议,是用于报文交换网络的一种面向数据的协议。数据在IP互联网中传送时会被封装为报文或封包。IP协议的独特之处在于:在报文交换网络中主机在传输数据之前,无须与先前未
2009-06-24 16:16:00 2783
转载 MTU和MSS
如何修改MSS值,改它有啥用?先说一段废话。。MTU与MSS值到底设置为多少?MTU: Maxitum Transmission Unit 最大传输单元MSS: Maxitum Segment Size 最大分段大小PPPoE: PPP Over Ethernet(在以太网上承载PPP协议)[分析过程]先说说这MTU最大传输单元,这个最大传输单元实际上和链路层协议有着密切的关系,让我们
2009-06-24 16:14:00 2987
转载 多线程编程
多线程编程之一——问题提出一、问题的提出编写一个耗时的单线程程序: 新建一个基于对话框的应用程序SingleThread,在主对话框IDD_SINGLETHREAD_DIALOG添加一个按钮,ID为IDC_SLEEP_SIX_SECOND,标题为“延时6秒”,添加按钮的响应函数,代码如下:void CSingleThreadDlg::OnSleepSixSecond() {Sle
2009-06-23 16:00:00 499
转载 udp报文头
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://shangji.blog.51cto.com/58254/37417 本文出自 “世纪商机 拜拜了曾经计算机的同行 ” 博客,请务必保留此出处http://shangji.blog.51cto.com/582
2009-06-23 15:02:00 1202
转载 tcp报文头
TCP协议记录: 每一个TCP段都包含一个固定的20字节的段头。TCP段头由20字节固定头和一些可选项组成。实际数据部分最多可以有65495(65535-20-20=65495)字节。 转载于:http://shangji.blog.51cto.com/58254/37043传输控制协议(TCP)向上与用户应用程序进程接口,向下与网络层
2009-06-23 15:00:00 3268
转载 ip报文头
我理解的IP报文头2008-09-24 01:26在我们的网络中,IP的使用大家应该都不会陌生,但是对IP数据包的内容,也许有很多人并不了解。IP数据包也叫IP报文分组,传输在ISO网络7层结构中的网络层,它由IP报文头和IP报文用户数据组成,IP报文头的长度一般在20到60个字节之间,而一个IP分组的最大长度则不能超过65535个字节。下图为IP分组的报文头格式,报文
2009-06-23 14:57:00 4354
转载 C/C++内存分配
转自:http://biwier.yculblog.com/post.484282.htmlC/C++内存区分配亦无 @ 2005-01-20 17:36一.在c中分为这几个存储区1.栈 - 有编译器自动分配释放2.堆 - 一般由程序员分配释放,若程序员不释放,程序结束时可能由OS回收3.全局区(静态区),全局变量和静态变量的存储是放在一块的,初始化的全局变量和静态变量在一块区域,未初始化的全
2009-06-23 09:17:00 493
转载 WinPcap编程渐进教程
原文出处:http://winpcap.polito.it/docs/man/html/index.html 作者: Loris Degioanni (degioanni@polito.it), NetGroup, Politecnico di Torino http://winpcap.polito.it 译者: 记忆碎片 (val_cong@htomail.com) http://ww
2009-06-19 10:40:00 897
转载 Ws2_32.lib是做什么用的?
该库对应ws2_32.dll,提供了对以下网络相关API的支持,若使用其中的API,则应该将ws2_32.lib加入工程(否则需要动态载入ws2_32.dll)。 accept bind closesocket connect getpeername getsockname getsockopt htonl htons ioctlsocket inet_addr inet_ntoa listen
2009-06-18 16:29:00 5796 1
转载 #pragma用法大全
C和C++的每个实现对它的主机或操作系统都支持一些独有的特征。例如, 某些程序须对存放数据的存储器区域进行精确的控制,或必须控制特定函数接受参量的方式。#pragma指令对每个编译器给出了一个方法,在保持与C和C+ +语言完全兼容的情况下,给出主机或操作系统专有的特征。依据定义,编译指示是机器或操作系统专有的,且对于每个编译器都是不同的。 语法 #pragma 语言符号字符串 语言符号字符串是
2009-06-18 16:27:00 1341 1
转载 动态加载win32可执行文件
技术细节: 01c/;B windows环境下,创建进程的时候我们可以指定为suspend模式,也就是在CreateProcess函数调用的时候指定参数为CREATE_SUSPENDED,则该创建的进程将保持suspend模式,只是把该exe文件导入到内存中而不运行,直到调用函数ResumeThead恢复该进程运行.而在suspend模式下,可以对该exe进程内存空间进行读写操作(用ReadPro
2009-06-18 16:02:00 802
转载 _tmain()
在visual c++ 2008 中,当选择编辑一个32位Win32控制台应用程序时.初始状态下系统自带函数:int _tmain(int argc, _TCHAR* argv[]){return 0;}上述Win32控制台应用程序的入口程序是用来存放机器的一个环境变量的,如:机器名,系统信息等. 其中:int argc //参数个数
2009-06-18 16:02:00 4144 5
转载 PspCidTable概述
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
2009-06-18 16:01:00 1352
转载 pspcidtable杂谈
今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:Quote::1. 利用未导出的ExEnumHandleTable函数2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId 偶觉得都
2009-06-18 16:00:00 1613
转载 句柄表和pspcidtable
首先要先BS一下自己.一直以为进程的句柄表和PspCidTable是一样的.结果因为概念上的理解错误导致偶浪费了不少时间.多亏好心的FC的耐心指导算是明白一些.总结一下FC教偶的: PspCidTable与进程句柄表没有直接关系.它只是借用了句柄表的结构.它里面存的内容是 eprocess 或者 ethread 的地址.提供一些参考资源:http://hi.baidu.com/gz1x/blog/
2009-06-18 15:59:00 840
转载 pspcidtable
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
2009-06-18 15:59:00 1237
转载 icesword 是如何列出隐藏进程
icesword 是通过 PspCidTable 这个表来遍历进程的, PspCidTable 是一个没有被 ntoskrnl.exe 导出的。这就涉及到如何定位PspCidTable 的问题。icesword 是通过搜索特征串的方式定位 PspCidTalbe.PspCidTable 是一个 HANDLE_TALBE 结构.PsLookupProcessByProcessId
2009-06-18 15:58:00 714
转载 PsLookupProcessByProcessId的执行流程
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
2009-06-18 15:56:00 2786
转载 [转载]基于pspCidTable的进程检测技术
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一. pspCidTable概念及内核调试二. 获取pspCidTable的方法三. 几种进程检测方法的对比四. anti-pspCidTable技术及其他一. pspCidTable概念及内核调试-----------------
2009-06-18 15:55:00 4331
转载 隐藏进程
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之中(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
2009-06-18 15:54:00 1149
转载 利用伪造内核文件来绕过IceSword的检测1
创建时间:2005-12-20文章属性:原创文章提交:backspray (nimaozhi_at_163.com)作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分: 一、为什么需要伪造内核 二、伪造内核文件 三、隐藏进程
2009-06-18 15:43:00 1328 1
转载 Icesword的进程检测分析收藏
Icesword的进程检测分析: 当Icesword查看进程时,从用户态发送Irp给驱动,其中传入了在用户态获取的进程个数和Peb地址。在Icesword的驱动中进行检测,主要利用NtQurtySystemInformation获取指定进程的句柄,再利用未公开的函数ExEnumHandleTable获取所有进程相关的句柄,并对各个进程及其句柄进行比较,从而达到检测隐藏进程的目的。当然I
2009-06-18 15:41:00 694
转载 Icesword 驱动部分分析
icesword 是通过 PspCidTable 这个表来遍厉进程的, PspCidTable 是一个没有被 ntoskrnl . exe 导出的。这就涉及到如何定位PspCidTable 的问题。icesword 是通过搜索特征串的方式定位 PspCidTalbe . PspCidTable 是一个 HANDLE_TALBE 结构 .PsLookupProcessByProcessId 函数
2009-06-18 15:41:00 1807
转载 IDT Hook
这两天读了combojiang(此君真乃天牛也)一篇关于IDT Hook的文章,于是自己实现了一个Hook鼠标中断服务的程序,自己也总结一下。IDT即Interrupt Descriptor Table,描述了系统硬件/软件中断以及异常,这张表总共描述了0x7ff个中断(XP SP2),表中的每个元素代表一个中断门(Interrupt Gate),其格式如下所示:在我的程序中将该结构定
2009-06-18 15:39:00 2073
转载 inline hook和IDT hook结合 收藏
inline hook就是修改一个函数里面的几个字节为一条跳转指令,jmp到自己的函数中执行...... IDT HOOK就是修改IDT表中正常的异常处理例程的入口函数,为自己的函数地址 把这俩种思想结合起来就是""""一个字节钩子"""" 请看 nt!NtOpenFile: 80579fd0 8bff mov edi,edi
2009-06-18 15:38:00 1111
转载 rootkit hook之[四]-- IDT Hook
标 题: 【原创】rootkit hook之[四]-- IDT Hook作 者: combojiang时 间: 2008-02-19,17:05链 接: http://bbs.pediy.com/showthread.php?t=59867今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。我们首先来
2009-06-18 15:36:00 1590
转载 idt hook 3
二.IDT hook (一)基本思路:IDT(Interrupt Descriptor Table)中断描述符表,是用来处理中断的。中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确
2009-06-18 15:30:00 3253
转载 绕过目前主流的现代Anti-rootkit工具
本文描述了一些方法,可以绕过目前主流的现代Anti-rootkit工具,包括但不限于:Icesword 最新版、Gmer最新版、Rootkit unhooker 最新版、DarkSpy 最新版以及AVG Anti-rootkit最新版等等 目前的anti-rootkit工具中,对于内核模块主要采用如下几种扫描方式: 1.恢复ZwQuerySystemInformation的hook,然
2009-06-18 15:29:00 8423
转载 Rootkit演变
Rootkit 概述 我第一次接触rootkit是在2004年,当时我还是一个rookie病毒分析师,具备一定的关于UNIX的 rootkit病毒的相关知识。有一天我无意中发现windows系统中的一个可执行程序,在我登录这个程序的时候,windows系统似乎没有做出任何反应。我觉得很有趣,并且准备进一步探究这个程序,然后我发现在载入模块列表中有个文件并没有出现在磁盘上。很显然
2009-06-18 15:28:00 2671 1
原创 另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
标 题: 【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?t=42705************************************************************************
2009-06-18 15:27:00 1109
转载 DeviceIOcontrol
设备驱动程序可以被当作内核模式函数包来看待,一 说明功能:就是用来指定访问其中的哪个函数的。DeviceIoControl函数的dwIoControlCode参数就是这个代码,它指出了我们需要进行的操作,以及如何进行操作。 控制代码是32位数字型常量,可以CTL_CODE宏来定义,它们定义在winioctl.inc和ntddk.inc文件中。 控制代码中各数据位字段的含义如下: ◎ D
2009-06-18 15:25:00 3819 2
转载 驱动程序入门
我们学习程序设计,都是从“Hello World”开始的,驱动程序也不例外,今天我就写一个驱动版的“Hello World”来热热身,目的希望大家能对驱动程序的基本框架有所了解。驱动程序分为2类,一个是Kernel模式驱动,另一个是Windows模式驱动,2种模式本质是相同,但细节不同,本文介绍的是内核模式驱动和驱动程序的安装、使用。驱动程序同普通的EXE,DLL一样,都属于PE文件,而且都有
2009-06-18 15:23:00 1198
原创 驱动程序和应用程序通信方法
驱动程序必须与应用程序进行通信,才能最终达到应用程序控制设备的目的,不然驱动有QIU用。要通信就涉及到3个方面: 1.应用程序与驱动程序通信2.驱动程序与应用程序通信3.数据传输下面分别讨论1。应用程序与驱动程序通信1-1 应用程序实现与驱动通信的过程: ---用CreateFile打开设备,---用DeviceIoControl和驱动通信,包括从驱动读数据和写数据2种情况也可以使用Rea
2009-06-18 15:18:00 5924
转载 namespace的用法和作用
转载:http://topic.csdn.net/t/20051020/11/4338811.html#在大型软件开发项目中,类型和函数名冲突是常有的事,如:定义专用类型时就常常不只一次地使用相同的名字。为了避免这个问题。人们通常在代码中使用不同的词缀,由此造成代码很难管理、使用、阅读和编辑。碰到这种问题常常使人郁闷非常而且容易出错。看看下面的代码: class strin
2009-06-09 09:45:00 1031 1
Spy++7.1中文版(含有帮助文档)
2010-04-07
C++语言99个常见编程错误
2010-03-31
群联助手 V1.3 0712
2010-03-09
ChipGenius USB设备芯片型号检测工具
2010-03-08
深入解析WINDOWS操作系统(第4版)中文带标签完整高清版PDF109M包1/6
2010-02-26
ildasm(ildasm2.0 ildasm3.0 ildasm5.0 ildasm1.0).net反汇编ildasm 工具
2012-09-23
Dis Sharp反编译破解版
2012-09-23
Linux内核源代码导读(完整版)
2011-01-25
万能U盘修复工具-藤楼庄园USB工具箱 V1.5
2010-05-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人