myjisgreat的专栏

VC运行时复制函数代码的注意事项搬运自我的百度空间 参考了http://www.docin.com/p-472081682.html这篇论文。本文为原创，转载请注明出处。在反破解中可能需要把一段已经在内存中的函数代码拷贝出来，到另一个地方运行。在远程注入中也会遇到拷贝内存中的代码作为shellcode的情况。比如这段代码：long__

FishHook钩子库开发日志搬运自我的百度空间FishHook是我开发了将近两年的Windows API Hook库，支持Win7/XP，支持x86和AMD64架构，如果开发成熟了以后也许会开源发布上来的。最近开发软件工程的大作业项目，用到FishHook，发现各种各样的BUG，这里简单记录下，聊表纪念14-4-15 发现IE运行在Fi

向低权限（低完整性？）进程注入的问题搬运自我的百度空间一个让人崩溃的bug：Chrome程序在钩子下运行失败。正常情况下，在HOOK了CreateProcessInternalW后，我的钩子会在新进程插入自己的DLL进行连环钩子。调试了几天不见端倪。在windbg中看到卡住的原因是Chrome一个子进程在创建时Terminate了自己。使

IsWow64Process函数理解的偏差搬运自我的百度空间IsWow64Process并不像网上很多文章说的那样，可以直接判断进程的位数。其实他的实际含义是某个进程是不是在wow64虚拟环境下。所以说各种可能的情况如下：64-bit process on 64-bit Windows : FALSE32-bit proc

DLL与Shellcode完全卸载自身搬运自我的百度空间原创文章，转载请贴出处远程注入时有一个不痛不痒的问题，DLL与shellcode如何卸载自身，做到无痕清除？由于我的DLL自卸载用到了Shellcode，所以两个问题都需要解决。DLL卸载一般使用FreeLibrary，但是如果DLL自己Free自己，会遇到下一条指令（e

定位未导出的函数地址（SHCreateProcess）搬运自我的百度空间，文章基于windows7 64位 我们要Hook shell32.dll的SHCreateProcess这个函数，苦于他没有被导出，也无从知道地址。其实我们还是有办法的。windbg有功能叫做栈回朔技术，可以看到函数的调用者，函数的调用者的调用者，函数的调用

Win7/Vista Hook CreateProcess 的特别之处搬运自我的百度空间，写本文时主流系统为Win7，本文的方法没有在高版本的windows尝试Hook了CreateProcess后发现，每当非管理员进程创建管理员进程，这个Hook被绕过了。 Win7中如果要截取创建新进程，单单Hook 本进程kernel32中的

Win7甚至在它之前开始，想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了，因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程，hook这个进程的CreateProcessInternalW已经不起作用，我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》（http://blog