djimon的专栏

http://www.3800hk.com/soft/zhly/15376.htmlFileInfo v4.01(资源分析查壳工具) 看雪安全-脱壳工具http://www.pediy.com/tools/unpacker.htm 汉化新世纪-汉化脱壳http://www.hanzify.org/teach/index.php?Go=Catalog::21

 在Windows 2000以上的MS操作系统，通过Windows的任务管理器可以列出当前系统的所有活动进程（如图1所示），在Windows XP中，更是在控制台下增加了一条Tasklist命令，让系统下的所有进程无所遁行（如图2所示）。这一切是怎么实现的呢？图 1图 2引用侯捷大师在《深入浅出MFC》的一句话，“知其然而不知其所以然，真不是个好办法”。既然如此，我们干脆自己动手，自己

#define DEBUGMSG#include #include #include #include #include #include "Psapi.h"#pragma comment (lib,"Psapi.lib")#define erron GetLastError ()TCHAR name[50]={0}; //保存虫虫的文件名+路径FILE *Gfp=NULL; //输出到文件B

创建时间：2005-04-28原文出处：http://www.xfocus.net/articles/200504/795.html原文作者：suei8423 (suei8423_at_163.com)管理员组获取系统权限的完美解决方案Author : ZwelLBlog   : http://www.donews.net/zwellDate   : 2005.4.28    关于管理员组(adm

在程序开发过程中，为了满足一些特殊的需求，有时需要屏蔽系统热键。这些系统热键包括Alt＋Tab、Ctrl＋Alt＋Del、Alt＋Esc、Ctrl＋Esc、Win等。由于屏蔽系统热键涉及到系统的安全，所以一般不推荐这样做，但由于存在实际的应用需求，所以作为编程人员还是要对此加以了解。本文分三种情况来讨论屏蔽系统热键的方法。 在Windows 95/98操作系统下 　　在Windows 95

开始自己做外挂的第一部...模拟键盘鼠标事件：两种方法：1.SendMessage or PostMessage2.keybd_event,mouse_event前者更强大，指定hwnd后可以后台发送，而后者只能够发送前台信息..也就是必须窗口最前简单的举例：方法2SetCursorPos(x,y);mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);mouse_e

前段时间跟以前的同事玩QQ游戏对对碰，结果输的好惨，后来在网上看到了有对对碰的外挂，但还需要注册，就考虑既然别人可以写出来，我为什么就不能写出来呢？于是花了一个下午的时间仔细研究了一下，把外挂写了出来。        其实原理很简单，只要将棋盘上面的数据保存起来，然后经过分析就可以知道移动哪里的动物，然后再通过模拟鼠标消息来点击两个位置就可以了。         1）获取棋盘数据         

每个系统都有线程，而线程的最重要的作用就是并行处理，提高软件的并发率。针对界面来说，还能提高界面的响应力。 线程分为界面线程和工作者线程，界面实际就是一个线程画出来的东西，这个线程维护一个“消息队列”，“消息队列”也是界面线程和工作者线程的最大区别，这个词应该进到你的脑子里，根深蒂固的！如果在界面线程的某个地方停住，这说明它处理不了窗口消息了，所以有时候我们就会看到整个界面无响应了。这种问

COM 组件设计与应用（十八）——属性包 COM 组件设计与应用（十七）——持续性 COM 组件设计与应用（十六）——连接点(vc.net) COM 组件设计与应用（十五）——连接点(VC6.0) COM 组件设计与应用（十四）——事件和通知(vc.net)：本回示例程序完成的功能是：客户端启动组件(Simple11.IEvent1.1)并得到接口指针 IEvent1 *；调用接口

OVERLAPPED,顾名思义为重叠,乍一看会很奇怪,重叠?谁跟谁重叠?似乎在WIN32的Programming中没有这个概念呀?要讨论这个问题就要追溯到对设备I/O的访问中  在WIN32中,用户不能象以前那样直接对硬件进行访问,使得这一层对开发者而言是个"黑盒",而是提供了一组对应的API的接口.让开发者基于提供的接口进行开发,而把低层的访问交给了Driver或者内核.  在WIN32中,设备

我来做一下总结：     枚举串口、并口不同的系统有不同的做法：     对于NT4这能够使用CreateFile轮询的方法；     对于win9x可以使用读取注册表的方法；     对于win2000,XP可以使用几个API但是必须要连接WIN32   SDK的setupapi.lib     具体使用方法可以参考http://www.codeguru.com/system/SerialEnu

DLL的优点简单的说，dll有以下几个优点：1)      节省内存。         同一个软件模块，若是以源代码的形式重用，则会被编译到不同的可执行程序中，同时运行这些exe时这些模块的二进制码会被重复加载到内存中。如果使用dll，则只在内存中加载一次，所有使用该dll的进程会共享此块内存（当然，像dll中的全局变量这种东西是会被每个进程复制一份的）。 2)      不需编译

说明：用PSAPI.DLL里函数写的，此代码无PSAPI.H头文件，无PSAPI.LIB链接库文件。功能：列举当前系统下所有进程，包括PID，进程名，进程完整路径。环境：Win2000+sp4+VC6.0另外：本人水平有限，错误在所难免，望高手批评。#include#include#define MAX_ID 1024 //最大进程ID//枚举进程typedef BOO

一，ipconfig /all      显示所有网络适配器（网卡、拨号连接等）的完整TCP/IP配置信息。与不带参数的用法相比，它的信息更全更多，如IP是 否  动态分配、显示网卡的物理地址等。可以不用带参数，直接ipconfig大家可以比较一下二，ping它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用

#1 一：net use //ip/ipc$ " " /user:" " 建立IPC空链接net use //ip/ipc$ "密码" /user:"用户名" 建立IPC非空链接net use h: //ip/c$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H:net use h: //ip/c$ 登陆后映射对方C：到本地为H:net use //ip/ipc$ /del 删

http://soft.deepin.org/read-htm-tid-957426.html 首先要认识脱壳一切从“壳”开始 　　我写这篇东西的主要目的是让初到本站的新手们能对“壳”有个大概的认识，知道我每天说了些什么。限于本人的知识，如果有 ERROR 之处，还请多原谅。如果你觉得还可以， 也欢迎转贴，但请保留文章的完整性和作者的资料。当然如果你想把它发表，硬塞些稿费给 俺花花，我也不

加壳一般是指保护程序资源的方法. 脱壳一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱壳杀毒方法 : 壳是什么？脱壳又是什么？这是很多经常感到迷惑和经常提出的问题，其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候，说明你已经在各个安全站点很有了一段日子了。下面，我们进入“壳”的世 界吧。 一、金蝉脱壳的故事 我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混

                                                 编译：NorthTibet下载源代码枚举顶层（top-level）窗口枚举进程用 ToolHelp32 库枚举进程用 PSAPI 枚举进程16位进程的处理方法关于代码参考资料来自：http://www.vckbase.com/document/viewdoc/?id=1482摘要　　我们在

一个进程可以拥有很多主窗口，也可以不拥有主窗口，所以这样的函数是不存在的，所幸的是，相反的函数是有的。所以我们可以调用EnumWindows来判断所有的窗口是否属于这个进程。 typedef struct _tagWNDINFO{    DWORD dwProcessId;    CString strWindowText;    HWND hWnd;} WNDINFO, *LPWNDIN

有几种方法：1，用FindWindow()方法，此方法最简单，但缺点是如果没有窗口或标题，就很难实现：       if(FindWindow(NULL,窗口标题)!=NULL)      {               //有实例在运行。      }2，用Mutex互斥量：m_hMutex = OpenMutex(MUTEX_ALL_ACCESS, FALSE, strClassName); 

每一个应用程序实例在运行起来后都会在当前系统下产生一个进程，大多数应用程序均拥有可视界面，用户可以通过标题栏上的关闭按钮关闭程序。但是也有为数不少的在后台运行的程序是没有可视界面的，对于这类应用程序用户只能通过CTRL+ALT+DEL热键呼出"关闭程序"对话框显示出当前系统进程列表，从中可以结束指定的任务。显然，该功能在一些系统监控类软件中还是非常必需的，其处理过程大致可以分为两步：借助系统快照实

如果一个程序正在运行,你想得到他的句柄并不难,大家都知道的,用CWnd::FindWindow()函数如果要得到这个程序里面的一个按钮的句柄怎么做呢?看下面....EnumChildWindows可是个好东西，可以枚举一个父窗口的所有子窗口： BOOL EnumChildWindows(  HWNDhWndParent,         // handle to parent window /

ToolHelp32 库函数在 KERNEL32.dll 中，它们都是标准的 API 函数。但是 Windows NT 4.0 不提供这些函。　　ToolHelp32 库中有各种各样的函数可以用来枚举系统中的进程、线程以及获取内存和模块信息。其中枚举进程 只需用如下三个的函数：CreateToolhelp32Snapshot()、Process32First()和 Process32Next()。

来源：http://www.st0754.net Windows虽然是一个功能强大的操作系统，但其存在的一些先天性不足，给黑客留下了许多可乘之机，著名的BO程序就是利用Windows的这些漏洞来危害计算机的安全。笔者最近发现了一个很流行的专门获取Edit框Password的工具，甚至其源代码已在某报纸发表，这无疑是对Edit的Password功能的完全否定。本文将首先分析非法获取Passw