mergerly的专栏

Shellcode，顾名思义是一段拿来执行的代码片段，我们可以使用Shellcode来完成我们需要的任务弹窗的代码，可以被认为是一段Shellcode，获取某个模块的基址的代码，也可以被认为是一段Shellcode，同理，拿来干坏事的代码，也是Shellcode如今的杀毒软件都拥有查杀病毒木马的能力，除了静态的查杀，还有动态的主动防御，若恶意代码片段（拿来干坏事的Shellcode）被杀软发现，则可以认为当前运行的程序是病毒木马或是被感染的文件，理应“杀掉”有些时候，我们不想让自己写的代码被杀毒软件当

本文博客地址：http://blog.youkuaiyun.com/qq1084283172/article/details/53869796Android进程的so注入已经是老技术了，网上能用的Android注入的工程也有很多，虽然分享代码的作者在测试的时候能注入成功，但是其他的同学使用这些代码的时候总是出现这样或者那样的问题。在Android逆向学习的这段时间里，我也陆续测试了几个作者给出的Androi...

对于Android for arm上的so注入（inject）和挂钩（hook），网上已有牛人给出了代码-libinject（http://bbs.pediy.com/showthread.php?t=141355）。由于实现中的ptrace函数是依赖于平台的，所以不经改动只能用于arm平台。本文将之扩展了一下，使它能够通用于Android的x86和arm平台。Arm平台部分基本重用了libinj...

明天游戏要封测了，感觉稍微早了点，哎，悲剧。昨天把我的Bug改完了，今天在公司闲了一天，写文档差点写得睡着。没事所以回来得早点，7点过就到家了，郁闷的是回来又被新闻联播着实恶心了一把。闲的蛋疼只好写点程序了。最近一直在整理过去写过的东西，希望能够达到拿到哪里都可以直接用，不需要配置什么，动机主要是最近自己写了一些小东西，发现很多东西我都是在做重复劳动，比如说string_shim、C++ stri

此篇文章说是原创有些牵强。就像题目所说的，更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究，不过是工作的需求罢了。方法中涉及到一些函数需要提权，其实我一直以为网上那个标准的提权函数没什么用，直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码，也方便自己以后使用。 BOOL AdjustProcessPrivilege(HANDLE hProces

Windows下编译OpenSSL的方法下载地址：http://www.openssl.org/source/1、安装ActivePerl初始化的时候,需要使用perl。perl可以从http://www.activestate.com/ActivePerl下载。2、使用VS下的Visual Studio 20xx Command Prompt进入控制台模式VS2005

[文章作者：张宴 本文版本：v1.0 最后修改：2011.03.30 转载请注明原文链接：http://blog.s135.com/libevent_windows/]　　本文介绍了如何在 Windows 操作系统中，利用微软 Visual Studio 2005 编译生成 Libevent 2.0.10 静态链接库，并利用 Libevent 静态链接库，实现一个简单的 HTTP

Windows下的signal，Piaoger一直没有机会用到，今天既然在一个Console程序中碰到了，就很有必要把玩把玩，广搜天下，并做些笔记：>> Windows下的信号（Signal）信号是进程在运行过程中，由自身产生或由进程外部发过来的消息。信号是硬件中断的软件模拟(软中断)。每个信号用一个整型常量宏表示，以SIG开头，比如SIGCHLD、SIGINT

源代码如下： int TcpOptScan::send_tcp_raw( SOCKET sd, struct in_addr *srcAddr, struct in_addr *desAddr, u16 srcPort, u16 desPort, u32 se

<br />Author : Kevin Lynx<br />当软件作为release模式被发布给用户时，当程序崩溃时我们很难去查找原因。常见的手法是输出LOG文件，根据LOG文件分析<br />程序崩溃时的运行情况。我们可以通过SEH来捕获程序错误，然后输出一些有用的信息作为我们分析错误的资料。一般我们需要<br />输出的信息包括：系统信息、CPU寄存器信息、堆栈信息、调用堆栈等。而调用堆栈则是最有用的部分，它可以直接帮我们定位<br />到程序崩溃时所处的位置(在何处崩溃)。(codeproject上

<br />本文是Matt Pietrek在1999年9月的MSJ杂志上发表的关于Windows加载器与模块初始化方面的文章。作者深入分析了LdrpRunInitialize­Routines例程的作用，用C语言写出了此函数的伪代码，并剖析了模块初始化的整个过程，对于想了解Windows加载器的读者来说是不可多得的资料。<br /><br />注：附件中是本文的PDF格式，可读性好<br /><br />Windows加载器与模块初始化<br />作者：Matt Pietrek<br /><br />在最近

<br />反向进程注入及隐藏--动手做一个最简单的PELoader原始出处：xfocus.net<br />信息来源：邪恶八进制信息安全团队（www.eviloctal.com）<br />文章作者：Luke (msfocus@hotmail.com)<br />创建时间：2007-07-27<br /><br />一．废话<br />最近因为公司的项目需要，顺带的学习了一点和PELoader相关的东西，恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才，实在是没能力也没精力去写一个真正意义上的虚拟机，因此尝试

<br />Pe研究之：<br /> <br />从内存中加载Pe文件<br /> <br />作者：Sunline              lisunlin0@yahoo.com.cn 日期：2007年7月<br />关键字：代码重定位，代码注入，远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor

<br />   本人接触pe文件格式不久，参考网上的一些资料写了一个pe loader，主要是通过把需要加载的文件的所所有section加载到相应的RVA上，然后进行重定位处理、导入表和导出表处理、资源段处理。由于本loader.exe会被加载到0x0f400000处，因此可以把0x400000给被加载的文件预留了，这样可以避免重定位所带来的性能损耗。导入表的处理主要是通过调用GetProcAddress获取导入表中函数的地址。导出表一般仅在dll中使用，而此主要是用于load exe文件，所以不用做任何

实现Dos 下的 subst 功能的api函数  DefineDosDevice(0,   "Z:","C://WINNT");   //创建   DefineDosDevice(DDD_REMOVE_DEFINITION,   "Z:",NULL);   //删除

虚拟鼠标驱动的实现好久以前的东西了，发出来给感兴趣的朋友参考一下。虚拟鼠标驱动就是通过驱动虚拟一个mouse，然后通过上层应用程序控制其发码，可以模拟硬件级的发码。下面来看一下代码，主要的函数如下：NTSTATUSDriverEntry (    IN  PDRIVER_OBJECT  DriverObject,    IN  PUNICODE_STRING RegistryPath    )/*

　　信息监控与隐私保护永远是一对矛盾。       在对付各种信息窃取软件上。       新技术总是层出不穷。本文介绍一种古老的键盘记录器技术，确实很古老。       DOS时代人们就在用了。       但是现在它仍然很有效，在键盘过滤驱动失效的情况下，它仍然可用。但是兼容性不佳是它的一个问题。       特别是在Windows Vista操作系统上，我不能保证它是可用的。不过在可用的情况

下载 源自VC版，一些过滤模拟功能没有弄好，但是不影响在设备管理器中模拟出虚拟键盘，用于单价多用户环境非常方便。 .386.model flat, stdcalloption casemap:noneinclude w2k/ntstatus.incinclude w2k/ntddk.incinclude w2k/ntoskrnl.incinclude w2k/ntddkbd.i

前一段时间研究了下QQ目前各种外挂的机理，包括著名的coralQQ。鉴于目前网上关于这方面的文章少之又少，一般能找到的应该就这下面3篇(由于可能涉及版权问题，我链接就不给出了：　　a.木子版显IPQQ的制作教程　　b.关于QQ外挂DLL的加载原理的分析　　c.明日帝国(sunwangme)写的我是这样来做破解qq，做QQ外挂的系列　　在开始我的分析前我简要对上面这些资料作下评价，首先我觉得如果你也