冷风

利用快捷方式，由用户启动程序，进行绕过360

最近需要修改以前做的一个下载程序,主要是增加压缩和解压的功能,以减少网络带宽的消耗.去论坛咨询了一下网友,于是借助开源库ZipArchive来实现我要的功能。初步看了一下ZipArchive文档,简单地封装了一下压缩和解压功能.代码如下:/** CompressZipFile: 压缩文件* lpszFile: 需要压缩的文件* lpszZipFile: 要压缩到的目标文件* bAppend

在抓取网络数据时使用函数会出问题IHTMLElement的get_outerHTML内存泄露用到IHTMLElement的方法get_outerHTML()。侦测到内存泄露现象 if(spHtmlElement != 0) {BSTR bstr;// Better to declare BSTR bstr = NULL;spHtmlElement->get_outerHTML(&bstr);m_s

在爬虫工作过程中，需要把爬过的URL做成索引，之后每次分析到新的URL时与爬过的URL匹配一般可以使用字符串匹配，但如果有几十万，上百万数据时呢？匹配过程会非常缓慢，这时可以使用这个算法，用哈希对URL计算一个值，然后存在一个足够大的数组中而哈希值对应该数组的索引，在新的URL匹配时，对URL进行哈希计算，计算的值 为数组的索引这样每次匹配速度会极快，下面是代码的实现#include #incl

http://download.youkuaiyun.com/detail/chinafe/4453932SPI注入需要两部分内容1.安装SPI服务2.编写一个导出wspstartup的DLL这里是一个 空的模板，都可以正常运行，测试环境为windwos xp,win7,win2003http://download.youkuaiyun.com/detail/chinafe/4453932

如果直接在hook的函数中直接调用原始地址的话完全没有问题：int WSAAPI hooked_WSARecv_ws232(SOCKET s,LPWSABUF lpBuffers,DWORD dwBufferCount,LPDWORD lpNumberOfBytesRecvd,LPDWORD lpFlags,LPWSAOVERLAPPED lpOverlapped,LPWSAOVERLAPPED_

所谓的LSP注入，解释下大概原理就是修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSo

Locale identifier Language Sublanguage - locale Default code page Language code 0x0436 Afrikaans South Africa 1252 AFK 0x041c Albanian Albania 1250 SQI 0x1401 Arabic Algeria 12

char* old_locale=_strdup( setlocale(LC_CTYPE,NULL) ); setlocale( LC_CTYPE,"chs"); CStdioFile file; CString szLine,str_txt; file.Open(L"log.log",CFile::modeRead); while( file.ReadString( szL

转于http://hi.baidu.com/usoa/blog/item/9d49b60f6a2cf9e1aa6457ad.htmlInternetOpen怎么使用代理2010-03-16 13:57如果你用IE的默认代理设置:hinternet=InternetOpen(AfxGetAppName(),INTERNET_OPEN_TYPE_PROXY,NULL,NULL,0);  把INTERN

如何获取父进程的ID(hangwire发表于2001-12-26 17:00:47)   从所周知，在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二，并用它们示范如何获取任何指定进程的父进程ID。   NTDLL.DLL中有一个函数叫NtQueryInformationProcess，用它可以将指定类型的进程信息拷贝

(转载于：http://hi.baidu.com/%B4%E7%B2%DD%D0%C4_/blog/item/e3a8200a28f6ea3ab1351d38.html)总结一下SHFileOperation的用法,希望对大家有用//删除文件或者文件夹bool DeleteFil

直接调用写注册表进行启动，启动方式为 LOAD ，封装好了两个函数可以直接调用啦。没怎么加容错处理。代码洁癖症愈发严重。int exist_startup()//写记号 标记有没有设置过启动项{ HKEY key; if(RegOpenKey(HKEY_CURRENT_USER,_T("software\\XXZH"),&key) == ERROR_SUCCESS){ RegClose

分两种方式实现C++和Cint read_dll_memory_load (TCHAR str_dll_path[],char str_export_fun[]) //用C++的方式把文件读到内存加载{ filebuf *pbuf; ifstream filestr; long size; char * buffer; filestr.open (str_dll_

此代码在vc6下直接编译，提取shellcode时进行debug模式，打开内存窗口，复制出二进制代码，整理成shellcode就可以了

VC6中创建一个MFC命令行工程，可以直接编译，懂的，可以拿来用。#include "stdafx.h"#include "MediaCoder注册机.h"#ifdef _DEBUG#define new DEBUG_NEW#undef THIS_FILEstatic char THIS_FILE[] = __FILE__;#endifCWinApp theApp;usin

void create_google_doos_url(){ char str_url[MAX_PATH]={0}; FILE * fp =fopen("h:\\url.txt","wb+"); for (DWORD i =0;i<1000000;i++) { sprintf(str_url,"=image(\"http://www.mtvxz.cn/player/playe

动态定位API的shellcode前面的HOOK IAT RING3>>文章中使用到了shellcode，那么这个shellcode是怎么制造出来的呢，本文将为你一步一步的解惑这个shellcode的主要功能是调用MessageBoxA弹出一个空的对话框，注意此时的地址空间是在别的进程，由于不同的操作系统会影响动态链接库的加载地址，而且不同版本的dll中函数的偏移量RVA也不尽相同，因此写一个通用

zlib 是通用的压缩库，提供了一套 in-memory 压缩和解压函数，并能检测解压出来的数据的完整性(integrity)。zlib 也支持读写gzip (.gz) 格式的文件。下面介绍两个最有用的函数——compress 和 uncompress。 int compress(Bytef *dest, uLongf *destLen, const Bytef *source, uLong so

编译默认的库老是显示 无法解析的 _uncompress 之类 把代码重新新建工程编译了一下就解决了编译环境: VS2008ZLIB版本: 1.2.8把头文件放在include目录 lib放在lib目录使用:#include #pragma comment(lib,"zlib.lib")就能使用了下载地址:http://download.youkuaiyun.com/download/wqrsksk/5343

需求如下：编译成EXE时，不添加启动项，编译成DLL时添加启动项目，通过预处理器来实现。解决方法：在DLL的项目属性->配置属性->C/C++ ->预处理器->预处理器定义中加入_USRDLL 这个是可以自己定义的。在EXE的项目没不要设置。代码中的实现如下：#ifdef _USRDLL//如果是Release就不再启动，如果是DLL就添加启动 HKEY KEY=NULL; RegOpenKe

面向对象的5条基本设计原则 作者：黄业宇　　这几天重新看了一遍《大话设计模式》，发现果然有不同的感悟，而且自己也上网找了《敏捷软件开发—原则、模式与实践》一书来看，那本书的序言中有一段话我觉得很有道理：“美的东西比丑的东西创建起来更廉价，也更快捷。”设计一个软件不关要追求代码的优雅问题，更关乎生产成本等。技术大师们在对软件架构的研究中经历了很长时间的摸索，从面向过程到面向对象，从设计原则到设计模式

https://cacoo.com/diagrams/非常好的一个在线制作，使用lengfeng54@gmail.com就可以直接登陆，很好，记录一下。

使用VC写的DLL通过内存加载类，转成SHELLCODE，发现一个诡异的问题，程序直接运行操作与下载无任何问题，下载10G数据也不会出错。但转成SHELLCODE后，诡异的问题，就出现了，不确定时间地点，出错。经过3个多小时，每句代码排查，找出问题原因，使用了如下代码：UINT ProcFileEnumWillDown(TCHAR * str_path)//枚举要下载的文件夹{ CListDi

修改对话框模板属性 styles-->>Border 属性改为Resizing

转换思路如下1.ANSI先转成UNICODE2.UNICODE转成UTF8下面代码是直接由UNICODE转为UTF8编码

对于木马技术爱好者来说，会做免杀是必然的一项技术，在自己编写的马被杀的情况下，结合源代码定位出被杀的函数是免杀中重要的一项技能。 杀毒软件在定位特征码的时候，有时定位的导入导出函数，这种情况相对好找，但有时候定位的是自己定义的一段函数。 这时候想找出被杀的部分就比较麻烦了，在学习的时候发现通过以下办法可以轻松的解决这个问题。实现方法如下 1.使用MYCCL定位出被杀的物理特

 文件木马的编写环境为VC6.0+WINDOWS2000 主要功能是管理Server的磁盘文件 主要包括: 上传文件下载文件执行文件删除文件文件属性删除目录创建目录屏幕监视  为了方便也加入了 屏幕监视 功能 因为是直接捕获BMP图像 复制图像直接使用了BitBlt而没有用StretchBlt进行缩放操作,所以显示效果比较好 

函数名称: CreateRemoteDll()返加类型:BOOL接受参数: DLL路径,注入进程ID 其完整代码如下: BOOL CreateRemoteDll(const char *DllFullPath, const DWORD dwRemoteProcessId)...{    HANDLE hToken;    if ( OpenProcessToken(GetC

 实现思路很简单 用16进制工具   打开.EXE文件 找到要替换的内容地址 进行更新写入就可以了注意点: 地址是从0开始的如下图所示的 地址应该是:0X5124   其实改写代码如下:  void ServerConfig::OnCreate() ...{    UpdateData();    if(m_ip.IsEmpty()||m_name.IsEmpty(

注：本文于07/4月于黑客防线发表版权归黑客防线所有，转载请注明出处  打造自己的GUI专版命令行程序  文／图 德州科技职业学院 冷风 命令行下的工具效率高，速度快，但是当程序的参数太多时，却不易于使用。所以我们就给它做个界面封装一下，顺 便把我们的大名也加上呵呵为了方便说明我们选用一个比较简单的程序GetOS.exe它是MS04011工具包中的一个小 工具，主要用来探测目标系统的类

注：本文于07/1月于黑客防线发表版权归黑客防线所有，转载请注明出处编程查杀ttdianying流氓软件文/图  冷风[后方网络][东南网安] 最近机房重了一种弹出网页式的流氓软件，毛病倒是不大，只是很讨人厌，每隔几分种就会弹出一次 游戏也玩不安心。如图1示。 用杀毒软件，360安全卫士，超级免子都也查不出个所以然来，上GOOGLE搜索也是哀声一片，并无清除 方法,所以只能自己动手解决

 注：本文于07/1月于黑客防线发表版权归黑客防线所有，转载请注明出处木马编程DIY之系统服务文/图冷风 [后方网络] 对系统服务的管理几乎是木马必不可少的功能了，比如神气儿，上兴远程控制等要是能我们给自己的木马加上这个功能，看着也不赖。我们实现的效果如图3-4所示图3图4好啦，现在开始干活 取得配置权限 在对服务进行管理设置前，需要

注：本文于07/1月于黑客防线发表版权归黑客防线所有，转载请注明出处 号密码查看工具DIY文／德州科技职业学院 冷风星号密码查看工具大家都用过吧，现在我们自己来写个超级简单的。其实密码框是一个Windows的一个子窗口，显示星号是因为密码框设置了EM_SETPASSWORDCHAR属性，只要我们把密码框的EM_SETPASSWORDCHAR属性给去掉那么密码就会以明文显示了,我们可

木马编程DIY文／冷风在木马中除了必需的，屏幕控制,文件管理,SHELL之外还有其它的控制方式，我们用短小精悍的程序来一一DIY一下。1.锁定鼠标:这个功能很简单只要一个ClipCursor()就可以搞定了看看下面的小程序#include #include int main(int argc, char* argv[]){ printf("/n别害怕15妙后你的鼠标就可以使用了^_^/n"

可以使用RUNAS命令来以其它用户权利来运行程序，通常方法如下runas /profile /user:mymachine/administrator D:/黑客工具/远程控制/radmin.exe就可以了，不过要注意的是密码在提示的时候才需要输入 

用EnumWindows枚举并杀掉窗口实现起来也蛮简单的嘛几句代码就搞定了void CDddDlg::OnOK() { EnumWindows(WndFunc, NULL);//枚举所有窗口并把句柄传给WndFunc函数}BOOL CALLBACK WndFunc(HWND hwnd, LPARAM lParam){::PostMessage(hwnd, WM_CLOSE, 0, 0);/

简单使用COMBO（下拉列表框）控件COMBO控件是一种下拉列表框，使用它可方便用户的选择并且只占用较少的空间，下面是我在使用时的笔记，所以并不太完整，但对于一般使用应该是够了的1.  在适当位置放置COMBO控件（注意位置要适当高些）2.  建立控件与变量的连接如m_list3.  在OninitDialog中用m_list.AddString(“第一项”)来增添项4.  接

冷风草草细说下零管道 关注.........μρ2ц清风这个不光过卡巴了,,,基本上所有主动防御都过!!包口SSM,微点,,,夕草hot patching.μρ2ц清风对啊..冷风用socket直接替换输入输出的handle，可以实现零管道sulwan颠覆核心编程啊.μρ2ц清风反正我是用零管道的..幻影    si.hStdInput=hrp1;     si.hStdOutput=hwp2;幻

其实远程文件的ICO图标是无法直接得到的猛若RADMIN 黑洞者也是无没有到，当然了也不见决对没有，只是我不知道......我们可以通过如下变通方法得到原理：跟据文件的扩展名，从注册表中查找对应的程序图标不过这也有它的缺点对于EXE文件它只能显示一个可执行文件的图示实现方法CImageList m_ImageList;m_ImageList.Create(32,32,I