自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

baidu_36226689的博客

  • 博客(10)
  • 问答 (1)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 通过进程名得到进程句柄(tlhelp的方法)(ring3)

这个是因为我在网上搜只搜到枚举句柄的感觉很不方便,所以写下这个仅供参考HANDLE sub2(WCHAR* processname){PROCESSENTRY32 pe32 = { 0 };// 在本进程中拍一个所有进程的快照HANDLE hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

2017-05-17 20:08:47 778

原创 关于win7下RemoveDPC学习到的一点东西

搜集了很多资料和网页,为了枚举dpc花了很大功夫,为了方便大家学习相关知识与减少花费无谓的时间,将removedpc的小技巧和自己遇到的问题分享给大家关于枚举DPC这个是整个removedpc最大的问题。xp下可以导出 KiTimerTableListHead然后遍历,但是win7及以上是没有导出的(无论32位还是64位),所以当前我们的问题是如何获得“KiTimerTable

2017-04-20 22:47:11 807

原创 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)

typedef struct _LDR_DATA_TABLE_ENTRY{LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID      DllBase;PVOID      EntryPoint;ULONG32    S

2017-04-17 18:56:35 2506

原创 win7x64下的kpcr结构和kprcb结构

//翻网页看全是x86的,然后我就自己来找x64的//下面都是windbg调的nt!_KPCR   +0x000 NtTib            : _NT_TIB   +0x000 GdtBase          : Ptr64 _KGDTENTRY64   +0x008 TssBase          : Ptr64 _KTSS64   +0x010 Us

2017-04-12 17:14:15 3158

原创 //关于函数ZwQuerySystemInformation的第一个参数 SystemInformationClass

//因为经常找不到_SYSTEM_INFORMATION_CLASS里的第十一个值SystemModuleInformation对应的结构//现将该结构整理一下方便查阅//该函数的原型是NTSTATUS WINAPI ZwQuerySystemInformation(  __in          SYSTEM_INFORMATION_CLASSSystemInformatio

2017-04-08 00:36:44 1273

原创 x86下以ntopenprocess为例的SSDTHook

找了一些32位下获取SSDT的文章 很多很笼统 现在以SSDThook为例 展示如何更改SSDT中函数表的函数

2017-03-23 22:59:59 440

转载 IRP原理及派遣函数基本工作流程

转载于百度文库http://wenku.baidu.com/link?url=So3khjvq-fqL3G1JjI3BLAJh7dI9DJcaR6Km3m3McAl71wb6FRQK_cnwAOYUBhtMzNm_I7ZkbjM-ZVW1J-z4Txji8kN9WkJRB6SIArPBw-7I/O Request Packet (IRP)IRP 基本数据结构:IRP 是

2017-03-21 09:47:50 1600

转载 32位和64位编程注意事项总结

http://www.oschina.net/p/flowvisor http://www.cnblogs.com/centimeter/articles/2395405.html http://www.360doc.com/content/13/0520/21/7662927_286868466.shtml http://zhidao.baidu.

2016-11-02 11:45:35 11488

原创 函数指针

函数的指针就是函数的名字使用函数的指针必须知道原型函数(返回值,参数)函数指针的数据类型定义VOID  Sub_1();//VOID  (*pfnSub_1)();  //全局变量typedef VOID  (*pfnSub_1)();  //数据类型(int float)typedefint (*pfnPrintf)(const char* szForma

2016-10-26 22:37:48 298

原创 套接字事件

套接字事件#include #include using namespace std;//进程内部 线程通知   --->异步 ->同步UINT32  __stdcall CallBack(LPVOID lParam); HANDLE g_Event[2] = {0};void main(){

2016-10-26 22:36:22 380

空空如也

为什么说不能手动设置通知事件的方法来取代同步事件

2017-04-24

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除