Window核心
ThatAllOver
学习快乐才是快乐。
展开
-
Windows RDP 虚拟通道客户端DLL
【代码】Windows RDP 虚拟通道客户端DLL。原创 2023-02-23 16:08:48 · 266 阅读 · 0 评论 -
函数调用堆栈地址欺骗类
原始函数调用堆栈欺骗后函数调用堆栈原创 2022-12-07 15:26:45 · 460 阅读 · 0 评论 -
WTSVirtualChannelRead Error ERROR_IO_INCOMPLETE 996
【代码】WTSVirtualChannelRead Error ERROR_IO_INCOMPLETE 996。原创 2022-11-29 16:47:44 · 156 阅读 · 0 评论 -
获取显示器数据
获取显示器数据。原创 2022-07-28 16:47:45 · 749 阅读 · 0 评论 -
C++ DeviceIoControl 获取硬盘序列号
std::string get_disk_smart_serials(int index) { std::string ret; char physical[256]{ 0 }; sprintf_s(physical, 256, "\\\\.\\PhysicalDrive%d", index); HANDLE disk = CreateFileA(physical, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_.原创 2022-05-10 20:00:22 · 1480 阅读 · 1 评论 -
VEH HOOK FUNCTION
VEH HOOK MessageBoxA and MessageBoxW demo原创 2022-04-07 17:49:47 · 350 阅读 · 0 评论 -
10.0.22000.258内核结构
1: kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Mi原创 2021-12-22 17:37:01 · 405 阅读 · 0 评论 -
注册表保存与恢复
保存整个注册表regedit /e c:/backup.reg针对的某个分支保存REG EXPORT HKLM c:\HKLM.regREG EXPORT HKCU c:\HKCU.regREG EXPORT HKCR c:\HKCR.regREG EXPORT U c:\U.regREG EXPORT CC c:\CC.regregedit c:/backup.reg ;将backup.reg导入注册表regedit /s c:/backup.reg ;以安静模式将backup原创 2021-12-11 21:12:01 · 1231 阅读 · 0 评论 -
系统分区卷GUID
#define _CRT_SECURE_NO_WARNINGS#include <windows.h>#include <winternl.h>#include <stdio.h>// https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/ne-wdm-_fsinfoclasstypedef enum _FSINFOCLASS { FileFsVolumeInformation原创 2021-12-11 20:53:28 · 675 阅读 · 0 评论 -
Win32 枚举IE浏览器个人证书
#include <windows.h>#include <Wincrypt.h>#pragma comment(lib,"Crypt32.lib")#include <iostream>#include <string>// 转化为stringstd::string to_string(std::wstring str){ std::string result; int len = WideCharToMultiByte(CP_ACP原创 2021-09-10 09:56:06 · 211 阅读 · 0 评论 -
C++ 创建桌面快捷方式
#include <windows.h>#include <shellapi.h>#include <shlobj.h>#include <assert.h>#include <tchar.h>#pragma comment(lib, "shell32.lib")bool create_link_file( const wchar_t* application, // 快捷方式对应的程序 const wchar_t* argv原创 2021-09-03 10:28:16 · 2519 阅读 · 1 评论 -
本地输入法
#include <windows.h>#include <windowsx.h>#include <imm.h>#include <assert.h>#pragma comment( lib, "Imm32.lib")#include <iostream>#include <vector>#include <string>#pragma comment(linker,"\"/manifestdepend原创 2021-08-31 11:59:20 · 239 阅读 · 0 评论 -
PDB下载
#define _CRT_SECURE_NO_WARNINGS#include <Windows.h>#include <WinInet.h>#pragma comment(lib,"Wininet.lib")#include <iostream>#include <string>#include <sstream>#include <iomanip>intdownload_http( std::string u原创 2021-07-30 12:41:11 · 1512 阅读 · 0 评论 -
MFC的Microsoft RDP Client Control避坑指南
1.基本操作教程https://blog.csdn.net/linlin003/article/details/529227412.VS2019的类向导里面没有类型库中的MFC类,需要低版本些的VS才有3.注意CLSID,填错的话创建会失败,在GetClsid()和rc资源文件里面有4.CLSID的各个版本https://docs.microsoft.com/en-us/windows/win32/termserv/using-remote-desktop-web-connection5.可以原创 2021-07-14 10:22:37 · 1442 阅读 · 0 评论 -
Easy Anti Cheat Register Spoofer
https://www.unknowncheats.me/forum/downloads.php?do=file&id=33256REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\IDConfigDB\Hardware Profiles\0001" /v HwProfileGuid /t REG_SZ /d {%Hex8%-%Hex1%-%Hex0%-%Hex1%-80%Hex10%} /fREG ADD "HKEY_LOCAL_M原创 2021-07-09 16:05:01 · 1041 阅读 · 0 评论 -
VC++ 通过COM操作IE浏览器
#pragma once#include <windows.h>#include <MsHTML.h>#include <atlcomcli.h>#include <oleacc.h>#include <string>namespace _ie_control{ // 初始化资源 bool initialize(); // 释放资源 void release(); // 判断是否是IE窗口 bool is_ie_w原创 2021-07-01 17:41:35 · 639 阅读 · 0 评论 -
虚拟硬件大师
软件介绍电脑硬件信息能够随机化或自定义软件目标进程模式 | 全局模式 …网卡MAC/GUID | 硬盘序列号/卷标序列号/容量大小/名称 | 显卡序列号/GUID/显存大小 | CPU型号/序列号 …程序多开 | 游戏多开 | 机器绑定 | 机器码绕过 …软件更新2021.07.01 : 第一个版本,能够随机化指定进程的网卡MAC和硬盘序列号…免责声明使用该软件产生的任何损失与作者无关效果图下载地址 : https://wwx.lanzoui.com/ievnaqw6bgb.原创 2021-07-01 14:09:07 · 4546 阅读 · 0 评论 -
Windows系统通用回调
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍:1 内核回调内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine原创 2021-06-29 09:23:54 · 2247 阅读 · 0 评论 -
10.0.19042.985内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 16:25:06 · 190 阅读 · 0 评论 -
10.0.18363.535内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 16:16:42 · 2087 阅读 · 0 评论 -
10.0.17763.107内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 16:06:51 · 343 阅读 · 0 评论 -
6.2.9200内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 15:59:38 · 179 阅读 · 0 评论 -
6.3.9600内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 15:50:43 · 220 阅读 · 0 评论 -
6.1.7601内核结构
kd> dt ndis!_NDIS_FILTER_BLOCK +0x000 Header : _NDIS_OBJECT_HEADER +0x008 NextFilter : Ptr64 _NDIS_FILTER_BLOCK +0x010 FilterDriver : Ptr64 _NDIS_FILTER_DRIVER_BLOCK +0x018 FilterModuleContext : Ptr64 Void +0x020 Minip原创 2021-06-23 15:35:03 · 248 阅读 · 0 评论 -
NtQuerySystemInformation的不同参数的结构
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength);typed...原创 2021-05-27 14:59:17 · 1067 阅读 · 0 评论 -
Windows无法验证此文件的数字签名
进入bios,找到Security选项,将Security选项下的Secure Boot Control设为Disabled管理员进入cmdbcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKSbcdedit.exe -set TESTSIGNING ON...原创 2020-04-27 20:24:44 · 4483 阅读 · 0 评论 -
Win32显示jpg图像
//第一步 加入stbi的两个头文件#define STB_IMAGE_IMPLEMENTATION#include "stbi/stb_image.h"#define STB_IMAGE_WRITE_IMPLEMENTATION#include "stbi/stb_image_write.h"//第二步 读取jpg图片和绘制到hdc设备上void show_jpg(HDC...原创 2020-03-22 13:48:16 · 2340 阅读 · 2 评论 -
WIN32
列表框样式:Visual Studio 2013 其他版本当列表框不包含足够的项滚动时,LBS_DISABLENOSCROLL列表框显示一个禁用的垂直滚动条。 若无此样式,当列表框不包含足够的项时,滚动条将隐藏。使用 Shift 键和鼠标或特定组合键LBS_EXTENDEDSEL,用户可以选择多个项。LBS_HASSTRINGS指定包含字符串的项所有者描述列表框。 列表框保留内存和...转载 2019-03-16 21:50:20 · 495 阅读 · 0 评论 -
WIN32
消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了。例如,单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的,这个记录中包含了消息的类型以及其他信息。例如,对于单击鼠标所产生的消息来说,这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg,它在Windows单元中是这样声明的:typeTMsg...转载 2019-06-23 14:52:55 · 335 阅读 · 0 评论 -
RootKit基础学习
很多RootKit都是运行在Ring0层的,所以我们必须先了解Ring0是个什么东西。其实Ring(环)就是x86平台进行访问控制的概念,Ring0层也叫作环0层,win平台下一共就有4个环,不用说肯定是Ring0,Ring1,Ring2,Ring3了,权限最高的就是Ring0层,也叫做内核层,权限最低的就是Ring3层了呀,也叫作用户层。Windows系统就仅仅使用了Ring0层和Ring3...原创 2018-10-15 23:24:37 · 811 阅读 · 0 评论 -
理解线程局部存储区
线程局部存储区,英文总称Thread local Storage,简TLS。那TLS有什么用处呢?起始我们可以使用TLS将数据于一个正在运行的线程关联起来。将数据与线程关联起来是有帮助的,比如我们使用TLS来确定线程运行了多长时间。C/C++的运行库也使用了TLS,但是C/C++运行库是在多线程程序出现的很多年前设计的,所以运行库中的很多函数都是不支持多线程的,所以在多线程的环境中使用运行...原创 2018-10-14 23:54:01 · 1198 阅读 · 0 评论 -
I/O完成端口,Windows下高性能服务器基础
Windows设计目标是实现一个安全,健壮的操作系统,能够运行各种各样的程序来为用户提供服务,我们现在就来了解一下以前Windows系统下服务器的架构:1.串行模型,英文全称Serial model,就是一个线程等待一个客户发出请求,当请求到达的时候,线程会被唤醒去对客户的请求进行处理。2.并发模型,英文全称Concurrent model,就是一个线程等待一个客户请求,当一个客户请求到达...原创 2018-10-17 23:47:17 · 345 阅读 · 0 评论 -
PE文件的内存映射
如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念:1.文件偏移地址(file offset) PE文件数据在硬盘中存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...原创 2018-10-13 15:59:33 · 1871 阅读 · 0 评论 -
了解Windows系统下的PE文件
可执行文件结构是操作系统的根基,Windows系统下面有很多类型不同的文件,例如*.ex,*.dll,*.sys,*.ocx等文件格式都遵从PE文件结构的约定。PE文件实在win32位系统中诞生的,而且与win64位系统中的可执行文件格式基本相同。在Windows系统中,可以以二进制形式被系统加载执行的文件都是PE文件。PE文件就是Portable Executable(可移植执行体)...原创 2018-10-13 14:37:13 · 4685 阅读 · 0 评论 -
DLL的隐式调用
DLL项目:#ifndef _TestDll_#define _TestDll_#include <stdio.h>/*DLL导出测试代码1.一个DLL可以导出变量,函数,C++类2.但是在实际开发中我们应该避免从DLL中导出变量,因为这个等于去掉了代码中的一个抽象层从而使得代码更加难以维护3.只有当导出的C++类的模板使用的编译器和导入的C++类的模板使用...原创 2019-05-02 15:44:40 · 827 阅读 · 0 评论 -
设置字体
// 设置字体参数 LOGFONT LogFont={0}; ::memset(&LogFont, 0, sizeof(LOGFONT)); lstrcpy(LogFont.lfFaceName, "新宋体"); LogFont.lfWeight = 400; LogFont.lfHeight = 44; // 字体大小 LogFont.lfCharSet = 1...原创 2019-05-10 15:01:40 · 209 阅读 · 0 评论 -
Window安全机制概述
从Window7开始,系统安全性得到很大提升添加了Window安全中心,提醒用户使用杀毒软件,防火墙,以及下载最新的安全补丁。 没有经过用户的允许,大多数的Web弹出窗口和ActiveX控件安装将会被禁止。 添加了Window防火墙。 添加了UAC(User Account Control,用户控制机制),可以防止恶意程序和间谍软件在未经许可的情况下在计算机上进行安装或者更改。 IE7...原创 2019-05-15 20:47:55 · 1318 阅读 · 0 评论 -
反调试技术
一、Windows API方法Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否正在被调试,以IsDebuggerPresent函数为例,例子如下:BOOL ret = IsDebuggerPresent();printf("ret = %d\n", ret);破解方法很简单,就是在系统里将...转载 2019-05-18 15:16:42 · 378 阅读 · 0 评论 -
PE文件的导出表解析
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留,一直都是00000000 DWORD TimeDateStamp;//导出表创建的时间(GMT) WORD MajorVersion;//导出表的主版本号 WORD MinorVersion;//导出表的次版本号 DWORD ...原创 2019-05-31 13:10:22 · 359 阅读 · 0 评论 -
PE文件导入表解析
#include <Windows.h>#include <iostream>#include <string>#include <fstream>#include <memory>using namespace std;int rva_to_file(PIMAGE_SECTION_HEADER pSection,int...原创 2019-05-31 14:19:40 · 322 阅读 · 0 评论