kendyhj9999的专栏

这片文章是我在阅读完MSJSeptember 1999 Under the Hood后的总结。在windows中exe可执行程序运行时都会调用一些DLL，例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢？通常，大家都知道在编写dll时会有一个DLLMain的入口函数，但是实际上这个函数并不是调用dll时最先的工作。首先dll需要被加载，然后要进行初始

驱动程序------（前言）(2009-08-25 17:31:19)转载▼标签：驱动驱动程序驱动程序时什么 前言说起来有点搞笑，关于驱动程序，我也是无意在网络上看到有关它的介绍。当然凡事介绍此程序，大都关于计算机病毒或者是杀毒软件厂商宣称自己的软件进入驱动级，如何如何的牛X。也就是从那时候起，我才开始关注驱动程序，从而走

from:http://blog.sina.com.cn/s/blog_61d65e360100gd7p.html驱动编程---来个例子感性认识下(2009-12-17 01:03:46)转载▼标签：杂谈 下面是个例子，代码作者是张帆，我来详细解释，从中遇到知识点，我延伸出来分析。忘记说了，前些日子，公司搬家，好了之后有累

驱动学习----函数调用机制（1）之同步（4）扩展(2010-05-01 01:15:01)转载▼标签：函数调用机制驱动驱动程序驱动学习 函数调用机制（1）这节作为同步知识的扩展，我们开始来研究。函数可以分为Win32 API函数，面向驱动程序开发而导出的函数，SSDT里包含的有实质性作为的函数，更加底层的

驱动学习---RootKits--inline hook 小插曲(2010-05-09 03:14:02)转载▼标签：rootkitsinlinehook驱动学习驱动 inline hook初次见面（1）RootKits中比较IMBA的技术就是inline hook，那么不妨来研究研究。inline

from:http://blog.sina.com.cn/s/blog_61d65e360100np53.html服务程序编写-------详细介绍如何构建你自己的服务程序（上）(2010-12-12 13:59:04)转载▼  服务程序编写详细教程服务，作为Windows的重要组成部分，一直以来充满了神秘感。网络上流传的相关

from:http://blog.sina.com.cn/s/blog_61d65e360100glqy.html驱动程序9--实模式，保护模式，虚拟8086模式(2010-01-07 00:23:04)转载▼  实模式，保护模式，虚拟8086模式本打算这个笔记是昨天写的，但是一提笔笔者就迷茫了，我该如何去写呢~？我如何去描述

网上找了很多,可只是给出代码,没有详细解释,不便初学者理解.我就抄回冷饭.把这个再拿出来说说.实例图片:  首先建立一个标准的Win32 Application 工程.选择a simple Win32 Application.然后建立我们的资源文件首先新建一个对话框资源,资源ID改为IDD_MAIN_DLG然后在其上新建一个按钮控件资源ID改为IDC_ODB

http://www.cppblog.com/vczh/default.aspx?opt=msg其他博客关注：http://blog.youkuaiyun.com/ustc_dylan/article/details/4181435

全文比较长，链接在这里：http://www.microsoft.com/msj/0197/exception/exception.aspxJanuary 1997A Crash Course on the Depths of Win32™ Structured Exception HandlingAt its

MFC默认文档操作方式作者：未知  来源：网络转载  查看：2当利用MFC 当利用MFC编程时，其文档/视图结构为我们自动生成了文件新建，打开，保存的代码。这为我们省去了很多麻烦。但当操作对象是ODBC数据库等非文本文件时，问题出现了，如何改变其默认文档操作过程了？经过分析MFC源代码可知。其默认菜单中的"新建""打开"消息分别对应CwinApp::OnFileNe

Windows Symbol Filesfrom:http://www.7880.com/info/Article-56f07840.html1.什么是Symbol File?                   Symbol files hold a variety of data which are not actually needed when running the bina

msdn中居然找不到CDocManager类的说明，网上找到这篇文档，有待分析。首先有个不明白的地方，我的书上说CDocManager类是不公开的，可是我还是找到了他的类定义和实现，真搞不懂她这个不公开是什么意思？？？        CDocManager的定义如下：class CDocManager : public CObject{ DECLARE_DYNAMI

http://blog.163.com/madengyao_super/blog/static/2859822020092234194247/OllyDBG找到按钮的处理函数2008-09-05 23:01最近系统有点慢，就想优化一下，于是下了个XX大师。结果要注册才行，看来可以用来练练手了。OD一下，靠还加了壳，偶就是用一下，就不脱你了。开始在弹出窗口Messag

http://www.cnblogs.com/xiaojinma/archive/2012/12/07/2806685.htmlVC++6.0 DDK 环境配置我目前用的是VC++6.0含SP6中文版+英文版.VC6SP6.ISO (485 MB)Windows 2003 DDK.iso(230 MB) 其实别的版本DDK也可以的，我们要的是一些结构&头文件用来

WPARAM 和 LPARAM，消息响应机制wParam和lParam 这两个是Win16系统遗留下来的产物，在Win16API中WndProc有两个参数： 一个是WORD类型的16位整型变量；另一个是LONG类型的32位整型变量。因此根据匈牙利命名法，16位的变量就被命名为wParam, 32位的变量就被命名为lParam。到了Win32API中，原来的16位变量也被扩展为32位

函数调用约定和堆栈1 什么是堆栈编译器一般使用堆栈实现函数调用。堆栈是存储器的一个区域，嵌入式环境有时需要程序员自己定义一个数组作为堆栈。Windows为每个线程自动维护一个堆栈，堆栈的大小可以设置。编译器使用堆栈来堆放每个函数的参数、局部变量等信息。函数调用经常是嵌套的，在同一时刻，堆栈中会有多个函数的信息，每个函数占用一个连续的区域。一个函数占用的区域被称作帧（frame）。

本文主要是解决大家对于应用程序使用dll的幕后细节进行讲解，其他很多细节在此不再多提，假设读者已经明白如何编写dll，若对此不甚明白可参看下文：http://www.codeproject.com/KB/cpp/howto_export_cpp_classes.aspx 动态链接库的生产过程1.生成lib文件2.生成dll文件应用程序载入dll过程1.链接2.载入d

一种保护应用程序的方法 模拟Windows PE加载器，从内存资源中加载DLLFrom:http://www.zeroplace.cn/article.asp?id=1221、前言目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译器进行静态连接(.lib文件)，即使提供了静态版本也因为兼容性问题导致无法使用，而只提供DLL版本，并且很多

PE文件格式分析及修改From:http://hi.baidu.com/drunkdream/blog/item/6590508273ec37b60df4d271.html2011-03-13 9:12PE 的意思是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object f

2.3 IMAGE_SECTION_HEADERPE文件头后是节表，在winnt.h下如下定义typedef struct _IMAGE_SECTION_HEADER {BYTE Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text” //IMAGE_SIZEOF_SHORT_NAME=8union {DWORD Physica

了解Windows内核中的内存管理器如何有效地管理系统的物理内存以及每个进程中的虚拟内存。  Windows采用了页式内存管理方案，在Intel x86处理器上，Windows不使用段来管理虚拟内存，但是在Intel x86处理器在访问内存时必须要通过段描述符，这意味着Windows将所有的段描述符都构造成了从基地址0开始，且段的大小设置为0x80000000、0xc0000000或者0xff

1.      Win2k内存分页制………………………………………………………………………12.      小议WIN NT/2000分页机制…………………………………………………………413.      启用PAE后内存分页机制的一点小问题……………………………………………434.      使用WinDBG分析启用PAE后的分页机制…………………………………………48基本概念

From:http://blog.youkuaiyun.com/aNUi/article/details/636738终于成功了。下面是我的探索过程，以及一些其他的遗留问题。首先给出我的第一个小程序：;assemble with;NASM -fwin32 hello.asm;link with;lcclnk -s -subsystem windows hello.obj

From:http://blog.youkuaiyun.com/bird67/article/details/2919246如果你试着做一个应用程序的连接器（Linker），就会发现，仅仅有目标文件是不够的。我们在连接程序时，不仅仅要用到目标文件，库文件也是必不可少的。    库文件是怎么样的结构呢？    其实，库文件的结构也很简单。它就是“一堆”目标文件的集合。把目标文件做成库以后，我们在使用

from:http://bbs.pediy.com/showthread.php?t=63585最近在学习ida，有时候需要从lib文件里面提取sig，方便我们查看函数的名称。但是手工的办法只能一个个obj提取，虽然可以使用批处理，但是偶尔碰到错误的coff文件，还是需要人手工干预，所以写了这么一个小工具，顺带学习了一下lib文件的结构。lib文件最开头，由8个字符串开始，值为“!\n

from:http://blog.sina.com.cn/s/blog_61d65e360100tofn.htmlRootkit Tool----Kal-el 界面(2011-04-04 15:40:26)转载▼标签：杂谈 Kal-el真是好久好久没有写博客了，自从换了新公司，5个月没有再添加新的文章。最近的确相当

from:http://blog.sina.com.cn/s/blog_61d65e360100waop.htmlNDIS网络驱动程序-----学习（一）(2011-08-15 21:48:14)转载▼  NDIS网络驱动程序学习（一）关于网络编程，大家用的比较多的就是SOCKET。其中呢，SOCKET分TCP,UDP,原始套接字

驱动学习----同步（1）----内存管理之知识扩展(2010-04-27 02:25:13)转载▼标签：驱动程序驱动驱动学习 同步（1）我们先暂停内存管制这方面的内容，先来看看几个我们必须关注的知识:IRQL（中断级），同步，异步。这3个知识点我在前面已经稍微讲过。但是还不是很具体。这几节我们深入一些。等到第

驱动知识积累-----汇编，C语言之变量，函数透析(2010-08-15 17:40:18)转载▼标签：offsetaddr&函数变量 汇编，C语言之变量，函数透析关于变量，首先要明白他有三个概念：变量名，变量值，还有变量占据的地址空间。关于初学者，特别是同时学过汇编和C语言的读者肯定会对变量产生迷茫感

from:http://blog.sina.com.cn/s/blog_61d65e360100l709.html驱动学习----内存管理漏洞利用之--Ring3下Kill微点(2010-08-26 10:02:49)转载▼标签：如何杀微点内存管理杂谈 Ring3下Kill微点主动防御软件2010年8月24

from:http://blog.sina.com.cn/s/blog_61d65e360100o5lx.html驱动学习----RootKits---InlineHook(原创)(2011-01-03 11:03:22)转载▼  InlineHook ----ObReferenceObjectByHandle///Inlin

http://www.aogosoft.com/downpage.asp?mode=viewtext&id=197在开始之前，我必须为《汇编通讯》第五期上《用汇编语言写ESMTP电子邮件发送程序》致歉，可能很多的同学已经注意到使用附件中的程序登陆不了服务器，如果认真研究过这个问题，我们可以得知服务器返回错误号为0x800CCC18的'-ERR Not support ntl