- 博客(107)
- 资源 (10)
- 收藏
- 关注
RSS订阅转载 PE感染型病毒代码 大部分有注释
//学习电脑安全,必须要了解 病毒//Remark:PE感染型病毒代码 pe为可执行文件 来自> //欢迎提出疑问和质疑#pragma once#include #include #include using namespace std;//#pragma data_seg(".mydat")//程序优化 不显示UI//#pragma code_seg(".
2014-12-01 08:31:59
3538
转载 WinNT & Win2K下实现进程的完全隐藏
-----------转自:http://antghazi.yeah.netWinNT & Win2K下实现进程的完全隐藏 面对众多的计算机高手,考虑许久,终于还是决定出来献丑一下,文章内尽量使用最简洁易懂的词汇及例子来介绍,希望能够对一些初学与进阶者有所帮助。 关于进程的隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏方法,西祠的高手sh
2014-12-01 08:28:52
614
转载 在NT系列操作系统里让自己“消失”]
===================[ 在NT系列操作系统里让自己“消失”]================== SoBeIt 作者:Holy_Father 版本:1.2 english 日期:05.08.2003
2014-12-01 08:25:22
3580
转载 windows 内核函数前缀解析
1.对于ring3 api主要由 kernel32.dll,user32.dll等dll导出函数,2.对于内核函数,由ntoskrnl.exe导出。可以直接用IDA加载,在export栏中察看(可使用搜索栏搜索函数) 注意:文档化:在export显示的函数,说明函数已导出,在WDK文档中,可查询到的函数(联网+本地),为文档化,可直接调用。
2014-11-28 17:37:34
994
转载 应用层反WG技术研究
此技术不算原创,但算是整理,详解 话说神秘人物v校,73%可能性为女性。此技术是从他那里学来的。此人说话言简意赅,需要耐心体会。外挂,与反外挂,是矛与盾的关系,要想做好反外挂,必须了解矛的构成,以及盾的技术,才能制造出一个较好的盾。纵观当前反外挂形势,就像是世界大战,各种驱动满天横飞。战火连天,一发生战争,最受伤的是老百姓,一但用到驱动去反外挂,最受伤的是用户bs驱
2014-10-07 23:06:25
873
转载 VC++6.0远程调用Call
好久没来了,心情不好,又来到这熟悉又怀念的地方,伴我快一年多的地方,真的很感谢伴我渡过孤独的大半年。 又看到喜欢的VC++,VC++这块一直很少有人发表,可能高手都忙吧。今天没事就发下我以前的远程调用Call。 有不好的地方希望大家可以指正交流。 [cpp] view plaincopyprint?typedef struct P
2014-10-07 22:50:53
1240
转载 PE格式文件的代码注入
PE格式文件的代码注入 本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)中注入自己的代码。 程序如图: 前言 或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件中的,又或者是
2014-10-07 14:42:50
5325
转载 VC实现重启TP-LINK路由器
可以说《[原创]VC成功实现重启路由器(完整源码)》差不多是抄来的(有点点修改~~,惭愧!),当时用自己的方法始终不行。不过当时那个程序体积太大,我便又打算重新写一遍代码,来实现重启TP-LINK路由器的功能。 代码如下(这次绝对是我自己敲的!):#include #include #pragma comment( lib , "ws2_32" )int main()
2014-10-05 17:12:06
2538
转载 MD5加密及HMAC-MD5加密(VC源代码)
开发语言:C/C++实现功能:MD5加密及HMAC-MD5加密下载地址:HMAC-MD5.zip更新历史:V1.1 2010年05月08日增加输出BASE64编码字符串接口。V1.0 2010年04月15日完成正式版本。接口函数:MD5_HashHMAC_MD5_Hash
2014-10-05 17:05:56
5301
1
转载 BASE64编码和解码(VC源代码)
BASE64可以用来将binary的字节序列数据编码成ASCII字符序列构成的文本。完整的BASE64定义可见 RFC1421和 RFC2045。编码后的数据比原始数据略长,为原来的4/3。在电子邮件中,根据RFC822规定,每76个字符,还需要加上一个回车换行。 转换的时候,将三个byte的数据,先后放入一个24bit的缓冲区中,先来的byte占高位。数据不足3byte的话,于缓冲
2014-10-05 17:03:54
3295
转载 模仿腾讯实现内核进程的调试端口DebugPort 清零
模仿腾讯实现内核进程的调试端口DebugPort 清零最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。在公司xp sp3的系统上测试了成功,OD下断点失效或报错。--------------------------------------------------------
2014-09-24 16:42:44
1210
转载 模仿腾讯实现内核进程的调试端口DebugPort 清零
模仿腾讯实现内核进程的调试端口DebugPort 清零最近学习驱动,昨天刚配置了下windebug调试器,下载了论坛的驱动教程,很不错,适合入门。看了几个老郁的教程,随便把驱动环境搭建好了。在公司xp sp3的系统上测试了成功,OD下断点失效或报错。--------------------------------------------------------
2014-09-24 16:40:14
2691
转载 重载内核全程分析笔记
标 题: 【原创】重载内核全程分析笔记作 者: Speeday时 间: 2013-08-20,20:19:46链 接: http://bbs.pediy.com/showthread.php?t=177555还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
2014-09-23 11:40:15
735
转载 关于Page Fault的一些整理
Pages Input/sec 是为了解决硬错误页,从硬盘上读取的页数,而Page Reads/sec 是为了解决硬错误,从硬盘读取的次数。如果 Page Reads/Sec 比率持续保持为 5,表示可能内存不足。 Page Faults/sec 是指处理器中“页面错误”的数量。当一个进程引用不在主存储器“工作集” 中的虚拟内存页时,就会发生页面错误。如果该页面在 Standby 列表上
2014-09-17 15:34:31
1116
转载 WRK中全部访问DebugPort的函数总汇
KiDispatchException //1处 NtQueryInformationProcess //1处 PspCreateProcess //1处 PsGetProcessDebugPort //1处 PsIsProcessBeingDebugged //1处 NtTerminateProce
2014-09-17 11:27:43
1098
转载 过TesSafe反WinDbg双机调试
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。正文:在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。先开ARK工具看看游戏干了什么。从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSend
2014-09-17 11:25:58
1854
转载 游戏是如何检测到有OD等调试工具的(转)
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDB
2014-09-10 10:45:31
3310
转载 UNICODE环境下将宽字符CString转换为char*
最近用VS编程,遇到点烦心事。VS默认是UNICODE环境,而我的函数接受的又是char *参数,不得已,上网搜索了一个貌似正常的结果,就用了。该转换方式如下:[cpp] view plaincopy(char*)strText.GetBuffer(strText.GetLength()) 初时不以为转换有错,结果运行之后,得不
2014-08-12 09:45:58
890
原创 c++驱动编译出错解决方法
错误一:LNK2019:unresolved external symbol _DriverEntry.....................qe
2014-07-30 08:40:10
975
转载 vs2008 破解方法(包括win XP和win7)
void CREGVS2008Dlg::OnBnClickedButtonAutoreg(){ // 要查找的VS2008版本列表 const TCHAR* szCaption[] = { TEXT("Microsoft Visual Studio 2008 安装程序 - 维护页"), // 简体中文版 TEXT("Microsoft Visual Studio 2008
2014-06-13 10:49:45
1349
转载 获取SSDT表函数名
ULONG GetSSDTName(){ KdBreakPoint(); if (KeGetCurrentIrql() > PASSIVE_LEVEL) { return STATUS_UNSUCCESSFUL; } //设置NTDLL路径 UNICODE_STRING uniFileName; RtlInitUnicodeString(&uniFileName, L"\\Sy
2014-05-15 16:17:56
3887
转载 城里城外看SSDT
引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词
2014-05-04 22:52:38
1106
转载 C++ vector容器类型
vector类为内置数组提供了一种替代表示,与string类一样 vector 类是随标准 C++引入的标准库的一部分 ,为了使用vector 我们必须包含相关的头文件 :#include 使用vector有两种不同的形式,即所谓的数组习惯和 STL习惯。一、数组习惯用法1. 定义一个已知长度的 vector :vector ivec( 10 ); //
2013-08-13 15:22:27
524
转载 幽默人讲解R3枚举目标进程加载模块的全过程
作 者: jokersky,这位哥们的描述就是个白痴都能看懂代码,佩服他的口才,特转载之。希望大家听完故事后发表一下感想哦。[/相信观众朋友通过Google或者Baidu连接到这里的时候已经很清楚自己需要什么啦,我也就不在说明枚举目标进程加载模块的用处啦。【开发环境】Windows6.0.1+Microsoft Visual 9.0【开发语言】C++【功能实现方法】通过ZwQu
2013-04-23 09:43:59
770
转载 一个http请求的详细过程
一个http请求的详细过程我们来看当我们在浏览器输入http://www.mycompany.com:8080/mydir/index.html,幕后所发生的一切。首先http是一个应用层的协议,在这个层的协议,只是一种通讯规范,也就是因为双方要进行通讯,大家要事先约定一个规范。1.连接 当我们输入这样一个请求时,首先要建立一个socket连接,因为socket是通过ip和
2013-04-23 09:37:07
497
转载 常见的vc++编译错误
1、fatal error C1010: unexpected end of file while looking for precompiled header directive。寻找预编译头文件路径时遇到了不该遇到的文件尾。(一般是没有#include "stdafx.h")2、fatal error C1083: Cannot open include file: 'R…….h':
2013-04-22 11:27:39
1733
转载 x86中断
x86中断直接系统服务(Direct System Service) INT 00H - “0”作除数 INT 01H - 单步中断 INT 02H - 非屏蔽中断(NMI) INT 03H - 断点中断 INT 04H - 算术溢出错误 INT 05H - 打印屏幕和BOUND越界 INT 06H - 非法指令错误 INT 07H - 处理器扩展无效 INT 08H -
2013-04-03 10:03:59
756
转载 DOS下的关机
这几天一直想找到DOS下的关机小程序,在如下网页上找到一个: http://www.plop.at/en/dostools.html#shutdown.com将其中的关机主要内容编译,在虚拟机上运行,果然,一试就行! org 100hPowerOff: mov ax,5300h mov bx,0
2013-04-03 10:02:48
804
转载 汇编常用指令对标志位的影响(转)
加法指令 ADD (addition)指令对标志位的影响: CF=1 最高有效位向高位有进位 CF=0 最高有效位向高位无进位 OF=1 两个同符号数相加(正数+正数 或 负数+负数),结果符号与其相反。 O
2013-04-03 09:11:13
8504
2
转载 hook ZwQueryDirectoryFile实现文件隐藏
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWORD * PDWORD;typedef unsigned lon
2013-03-29 09:00:57
1032
转载 TP 游戏保护驱动调试视频教程
DXF TP 驱动保护的KiAttackProcess的处理下载地址:http://115.com/file/c28xxeu6 DXF TP驱动保护的NtOpenProces-NtOpenThread的处理下载地址:http://115.com/file/c28xxa5s DXF TP驱动保护的SSDT-HOOK--处理 下载地址:http://115.com/file
2013-03-29 09:00:19
2500
转载 再写手工打造可执行程序
三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直到三年后的今天我终于完成了它。现在把它分享给大家,希望大家批评指正。 我们这里将不依赖任何编译器,仅仅使用一个十六进制编辑器逐个字节的手工编写一个可执行程序。以这种方式讲解PE结构,通过这个过程读者可以学习PE结构中的
2013-03-29 08:59:46
1068
转载 Hook Shadow SSDT
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。这里主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse
2013-03-28 17:08:25
1012
转载 驱动监控进程的创建
这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOK NtCreateSection()这个函数,然后通过文件句柄获得文件名,判断它
2013-03-28 17:04:41
750
转载 shadow ssdt学习笔记(二)
三。如何hook似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说1下几个偶遇到的小问题1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效解决办法:1。在driverdispatch中hokkdriverdispatc
2013-03-28 17:02:15
890
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人