- 博客(23)
- 资源 (9)
- 收藏
- 关注
RSS订阅原创 获取文件的catlog签名信息
直接嵌入在文件里的签名信息获取很简单,文件上右键属性-签名信息就可以看到catlog签名稍微麻烦一下,1.如果只是想验证签名,用WinVerifyTrust这样的high level api即可,示例代码如下(from sysinternal:https://forum.sysinternals.com/howto-verify-the-digital-signature-of-a-fil
2017-01-03 19:49:03
1746
原创 mac下php-fpm配置
php-fpm现在已经是php"内核"的一部分,编译php时就可以编译进来,这里主要说和系统自带的php的冲突问题mac上自带了php和apache,系统自带的php-fpm在/usr/sbin目录下,而通过brew安装的php把php-fpm放到了/usr/local/sbin目录,默认启动PHP-fpm时系统会找到/usr/sbin目录的文件,他的默认php-fpm.conf为/priva
2017-01-02 17:47:17
10132
原创 mac下在命令行使用sublime text
建立软连接即可,我用的是sublime text2sudo ln -s /Applications/Sublime\ Text\ 2.app/Contents/SharedSupport/bin/subl /usr/local/bin/subl
2017-01-01 15:29:19
1316
转载 macos下安装NMP
1.安装home-brewruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"2.安装nginx用 brew 一键安装 nignx:1brew install nginx
2016-12-18 16:56:13
2235
转载 ubuntu安装nginx
安装 pcre依赖库(http://www.pcre.org/)12sudo apt-get updatesudo apt-get install libpcre3 libpcre3-dev安装 zlib依赖库(http://www.zlib.net)1
2016-12-17 20:49:46
601
原创 gdb使用总结
常用命令:1.file 表示要调试哪个文件2.r (run)执行,n(next)执行下一行代码,s(step into)执行下一行代码遇到函数自动进入3.bt当前显示堆栈4.b(breakpoint)下断点,可以用b funcname(对某个函数下断点)b *funcname(对编译器生成的prolog代码处下断点,和上面的区别在于这里可以下到程序代码执行之前)b li
2016-09-17 21:46:15
267
转载 learn python in 10 monutes
摘自:http://www.developertutorials.com/tutorials/python/learn-python-in-10-minutes-7-12-12/page1.htmlLearn Python in 10 MinutesBy Poromenos 2007-12-12Learn PythonPreliminary fluffS
2015-12-20 14:31:54
628
原创 procmon符号配置
在Options-Configure Symbols里设置,类似windbg的设置那样srv*D:\Symbols*http://symbol1.corp.qihoo.net/QihooSymbols/index.php;c:\windows\system32;c:\windows\;c:windows\system32\drivers某些情况符号就是加载不了,设置环境变量DB
2015-08-27 11:13:54
1858
转载 eclipse快捷键
Ctrl+1 快速修复(最经典的快捷键,就不用多说了)Ctrl+D: 删除当前行 Ctrl+Alt+↓ 复制当前行到下一行(复制增加)Ctrl+Alt+↑ 复制当前行到上一行(复制增加)Alt+↓ 当前行和下面一行交互位置(特别实用,可以省去先剪切,再粘贴了)Alt+↑ 当前行和上面一行交互位置(同上)Alt+← 前一个编辑的页面Alt+→ 下一个编辑的页面(当然是针对
2015-04-22 22:54:29
238
原创 windbg,kd命令
1. !idt 显示idt信息,!dpcs显示dpc信息2. !stacks 1 XX 显示内核栈信息,1表示换出的内核栈也显示,XX是一个过滤条件,如写为ndis,则只显示包含ndis的栈3.
2014-09-26 10:30:53
1849
原创 驱动开发坑总结
1. 用FILE_FLAG_OVERLAPPED打开设备时,ReadFile、WriteFile的OVERLAP参数不能为空,否则会异常,到不了驱动的派遣函数2. 用IoGetDeviceObjectPointer得到FILE_OBJECT和DEVICE_OBJECT指针,用完后Deref文件对象就行了,设备对象千万别Deref,否则会损坏设备对象。他内部是ZwOpenFile再ObRefre
2013-12-26 23:39:58
1175
原创 获取其他进程加载模块的详细信息
用CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息,得到MODULEENTRY32 结构,但是MODULEENTRY32 比较简单,只有基地址和大小等信息,EntryPoint、LoadCount等信息都没有,这些信息在另一个结构LDR_DATA_TABLE_ENTRY中,wrk中多次引用了这个结构,并且用这种方法调试时也能手动遍历模块列表。
2013-10-10 14:39:24
3183
转载 wireshark简单过滤规则
1. IP过滤:包括来源IP或者目标IP等于某个IP比如:ip.src==192.168.0.208&&ip.dst addr==192.168.0.2082. 端口过滤:比如:tcp.port ==80 // 不管端口是来源的还是目标的都显示 tcp.dstport == 80 // 只显tcp协议的目标端口80 tcp.srcpo
2012-07-27 18:01:13
649
原创 PE文件头常用字段总结
文件头 3Ch偏移处:PE文件头的地址PE文件头28h偏移处:入口点的RVA2Ch:代码段RVA30h处:data段RVA34h处:默认装入地址38h,3Ch:内存中alignment(一般为1000h,一页),文件中alignment(一般为200h)50h:image尺寸78h:数据目录表开始目录表结构: 8bytes,DWORD 保存起始RVA,DWORD保存
2012-07-18 20:50:44
1979
转载 创建特定用户的进程
用于创建特定用户的进程,比如在服务进程中创建基于当前用户的进程等等BOOL GetTokenByName(HANDLE &hToken,LPTSTR lpName){ if(!lpName) { return FALSE; } HANDLE hProcessSnap = NULL; BOOL bRet = FALSE; PROCESSENTRY32 p
2012-04-06 11:56:58
654
原创 判断文件是不是unicode
检查文件的前几个字节,0xFF 0xFE utf-16编码0xEF 0xBB 0xBF utf-8编码无额外前缀,ansi编码
2012-03-06 18:22:44
541
转载 WinDBG使用
1. 符号路径设置:Ctrl+S在弹出的窗口中输入你的符号路径,路径的格式只要符合Windows操作系统路径格式即可,路径可以多个,中间以分号间隔,c:\symbols\local;Windbg可以自动到Microsoft的服务器上下载符号表文件(.dbg或.pdb,有时DLL和EXE也会下载),只要在符合表路径里做如下设置:srv*c:\symbols\server*http://msd
2012-02-01 12:55:43
901
原创 关于protect继承的可见性
<br />在编译器中,protect继承的集成体系实际是不可见的,因此不能像public继承那样用static_cast转换体系中的指针,而在成员函数或者friend中是可以的。
2011-03-21 23:36:00
1233
原创 总结:MFC中一个对话框的关闭过程
说起来挺简单的,一个对话框关闭时要依次调用该类的DestroyWindow-OnDestroy-PostNcDestroy,根据关闭的方法不同,在这些函数之前会调用OnOK、OnCancle或者OnClose。 这里要说的是,模态对话框的消息循环要到调用了PostNcDestroy之后才真正的结束,即ContinueModal循环在这里才结束,然后类的析构函数将被调用,这个对话框才真正的被销毁了。 如果一个模态对话框还有一个模态的子对话框,那就更要注意了。如果子对话框还在显示
2010-12-20 23:33:00
2367
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人