cackeme的专栏

/* @desc:目前只检测最简单的两种inline hook,对IAT HOOK,CALL HOOK和深层次的INLINE HOOK没检测。 @desc:最好的恢复方法是先恢复IAT HOOK,然后从函数所在文件中提取函数机器码与内存中对比，不同则恢复之 @param1[in]:dwProc:函数地址*/bool IsProcHooked(DWORD dwProc){

#include //隐藏控制台界面#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")void RunProcess(int nDelay,char* szCmd){ STARTUPINFO si = {sizeof(si)}; PROCESS_INFORMATION pi;

sublime text 2是一款优秀代码编辑器，目前还是喜欢使用老版本，毕竟新版本需要经过时间的检验。但是用老版本，没有打开时都会出现更新提示。虽然不影响使用，但每次都弹还是有点受不了，于是就想使用OllyICE修改端这段弹出代码，很明显这个对话框是调用MessageBoxA或者MessageBoxW弹出来的。经过调试发现是MessageBoxW。为MessageBoxW设断点，在Oll

大家最熟悉的zip破解方式应该是暴力破解，暴力破解有很大局限性，如果密码很长很复杂你很可能一辈子都破解不出来。由于今天要破解自己以前加密过的zip文件，我设的密码习惯性长而复杂，果断放弃暴力破解，在网上找到一篇文章http://bbs.youkuaiyun.com/topics/10444536，我才知道有另外一种破解方法，前提是你拥有加密压缩包里的任意一个文件，一般我们可以根据winrar查看拥有的文件名和

#include "stdafx.h"#include #include #include #include using namespace std;#pragma comment(lib,"ws2_32")bool isPortOpen(const char* szIp,int nPort){ SOCKET sock = socket(AF_INET,SOCK

有时候我们需要在主程序中添加sys和dll等二进制资源，当我们预期的sys和dll文件被删改时，我们可以从资源中解压。首先编写资源脚本文件，测试的脚本my.rc内容很简单，只是当前目录的一个文件，代码如下：viewpic bin ".\viewpic.exe" 然后我们需要将rc文件编译成res，那样我们的程序就可以添加资源，简单地用批处理写编译资源脚本build.bat：br

参考http://support.microsoft.com/kb/97597/zh-cn/* @设置开机自启动 @strUser,用户名 @strPass,密码 @strAutoAdminLogon,当该值为1时自动登录,0取消 @return,成功返回TRUE，否则返回FALSE*/BOOL SetWindowAutoLogin(LPCTSTR strUser,

最近需要将两个老的mfc项目合并，因此至少有一个工程的资源需要移植到另一个。移植主要是针对对话框资源，资源主要包含在*.rc和resource.h文件中，resource.h包含的是工程资源ID的定义，*.rc包含对话框资源的定义。如果我们需要移植IDD_ABOUTBOX，首先我们需要在*.rc中查找IDD_ABOUTBOX，并将该定义复制到另一个工程，IDD_ABOUTBOX很可能跟另一个工程的

很久以前就知道可以使用LoadLibraryExW来防止全局钩子入侵，说实话一直很反感消息钩子。曾经想过在驱动层通过过hook NtUserSetWindowsHookEx来防止，但是我们并不是很好区分钩子不是不恶意的，而且windows系统本身也会使用，还有就是驱动层很多安全软件和rootkit都盯上了，稳定性是一个问题。后来我看到xuetr.exe也是在用户层hook自身的LoadLibrar

不想多说,以下是用regshot对比控件安装前后的报告，如想卸载只要把相关键删除即可。插件路径为"\Documents and Settings\Administrator\Application Data\DBankPlugin\DBankPluginIE.dll"。以上是去年写的，新版本路径已经不在那个地方。以下提供几种解决方法。1.技术没有正邪之分，依次展开注册表"HKEY_CL

现在HOOK越来越普遍，很多恶意程序通用hook用户进程的关机函数禁止关机，有些则是hook winlogon.exe的关机函数，因为进程的调用关机函数会最终给winlogon.exe发送关机消息。所以在用户层实现关机已经越来越不安全了。内核驱动禁止关机也不是很安全，通过windbg可以发现xuetr.exe禁止关机的原理是对NtShutdownSystem调用的SeSinglePrivilege

/*example: SetAutoRun("abc","c:\\abc.exe");*/void SetAutoRun(const char* szValueName,const char* szData){ HKEY hKey; DWORD dwRet = RegCreateKey(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Win

bool urlparse(const u_char* data,u_int len){ip_header *ih;udp_header *uh;tcp_header *th;u_short sport,dport;int ip_len = 0;ih = (ip_header *)(data+0xE);ip_len = (ih->ver_ihl &