- 博客(18)
- 收藏
- 关注
RSS订阅转载 天杀的ring0源代码
;====================================================================; Ring0驱动服务代码; 作者:天杀 QQ:797801 Email:Willok@163.com;--------------------------------------------------------------------;>>>>>>>>
2006-03-19 09:21:00
1574
原创 Winlogon原理
自己写Winlogon必须实现以下技术细节:1.首先建立WindowStation,名字必须为Winsta0;因为某内核模式的程序里有对Winsta0的引用2.建立三个桌面;首先必须建立winlogon名字的桌面,因为win32k.sys里有对winlogon名字桌面的引用;接着建立default桌面,因为explorer必须运行在default桌面上,如果在winlogon桌面上,会内存泄露
2006-03-18 09:33:00
3562
原创 ghost后找不到页面文件的解决办法
ghost后找不到页面文件 以下三个问题产生的原因和解决方法1.Windows 报告页面文件太小或者没有页面文件,无法启动到桌面原因: Windows 无法读写X:/pagefile.sys2.登陆后出现正在加载个人设置对话框,接着出现保存设置对话框,自动注销,返回登陆界面。XP在欢迎屏幕死锁,而且没有“欢迎使用”这几个字原因:Windows 找不到X:/W
2005-11-09 09:33:00
3199
原创 木马冰河之原理篇(深入浅出看木马)
主题:木马冰河之原理篇(转载) 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。 木马冰河是用delphi和C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Win
2005-11-05 11:35:00
5385
原创 病毒技术之动态获取API函数地址
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>; 公用模块:_GetKernel.asm; 根据程序被调用的时候堆栈中有个用于 Ret 的地址指向 Kernel32.dll; 而从内存中扫描并获取 Kernel32.dll 的基址;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2005-10-23 13:43:00
2969
1
原创 IsHungAppWindow 判断窗体某程序是否挂起
* IsHungAppWindow*判断窗体某程序是否挂起BOOL IsHungAppWindow( HWND hwnd)*参数hwnd为欲判断窗体句柄*返回 True表示挂起 Flase表示未挂起{ return (NtUserQueryWindow(hwnd, WindowIsHung) != NULL);}
2005-10-19 17:31:00
3754
原创 RegisterServicesProcess
*注册服务进程BOOLWINAPIRegisterServicesProcess( DWORD dwProcessId)参数:dwProcessID为欲注册进程的ID返回TRUE表示成功,返回False表示失败但注册后究竟可以干什么 没有相关解释{ USER_API_MSG m; PREGISTERSERVICESPROCESSMSG a = &m.u.RegisterServi
2005-10-19 17:30:00
1611
原创 RegisterUserHungAppHandlers
RegisterUserHungAppHandlers/***************************************************************************/* 注册用户挂起程序句柄** This routine simply records the WOW callback address for notification of* "hung"
2005-10-19 17:29:00
1236
原创 微软防止钩子注入的后门函数RegisterSystemThread
>>微软后门函数 RegisterSystemThread>>原形VOID STDCALL RegisterSystemThread (DWORD flags, DWORD reserved) >>等值定义define RST_DONTJOURNALATTACH 0x00000002define RST_DONTATTACHQUEUE 0x00000001 >>推测 查不出定义来!;调用例
2005-10-19 16:30:00
3593
原创 结束任务函数 Endtask function
;结束任务函数BOOL STDCALL EndTask (HWND hWnd, BOOL fShutDown, BOOL fForce) BOOL WINAPI EndTask( HWND hwnd, BOOL fShutdown, BOOL fForce){参数Hwnd为要关闭的窗口 若是单线程窗口则线程被结束 进程随之结束参数fShutdown 暂不明确定义 估计可能是是否
2005-10-19 16:28:00
3074
原创 User32 All Exports Function On Windows 2000 sp1
LIBRARY USER32EXPORTS ClientThreadSetup PRIVATE ;csrss uses GetProcAddr(). DialogBoxIndirectParamAorW PRIVATE ; comdlg, wow CreateDi
2005-10-19 14:58:00
4250
原创 Shell32 All exports Functions Liset On Microsoft Windows 2000 sp1
LIBRARY SHELL32; DESCRIPTION is obsolete and gives the IA64 linker the heebie-jeebies;DESCRIPTION Windows Shell LibrarySECTIONS#ifndef WINNT SHARED READ WRITE SHARED#endif;;;; t
2005-10-19 14:29:00
2947
转载 (转贴)世界编程大赛一等奖作品!
(转贴)世界编程大赛一等奖作品! e100 33 f6 bf 0 20 b5 10 f3 a5 8c c8 5 0 2 50 68 13 1 cb e 1f be a1 1 bf 0 1 e11b 6 57 b8 11 1 bb 21 13 89 7 4b 4b 48 79 f9 ad 86 e0 8b c8 bd ff ff e8
2005-10-18 00:43:00
1251
原创 在托盘图标中添加气球提示
在托盘图标中添加气球提示document.title="在托盘图标中添加气球提示 - "+document.title 很多朋友都见到过能在托盘图标上出现气球提示的软件,不说软件,就是在“磁盘空间不足”时Windows给出的提示就属于气球提示,那么怎样在自己的程序中添加这样的气球提示呢? 其实并不难,关键就在添加托盘图标时所使用的NOTIFYICONDATA结构,源代码如下:
2005-10-17 20:39:00
1279
原创 软件破解初级入门
软件破解初级入门 下面谈到了一些在学习解密过程中经常遇到的问题,本人根据自己的经验简单给大家谈一谈。这些问题对于初学者来说常常是很需要搞明白的,根据我自己的学习经历,如果你直接照着很多破解教程去学习的话,多半都会把自己搞得满头的雾水,因为有很多的概念要么自己不是很清楚,要么根本就不知道是怎么一回事,所以希望通过下面的讨论给大家一定的帮助: 1. 断点 所谓断点就是程序被中断的地方,这个词对
2005-10-16 16:47:00
4092
原创 网吧/家庭XP系统用户需要的系统服务
标记为:公用为两者都需要 网吧为网吧专用 家庭为家庭专用Cryptographic Services 公用 DCOM Server Process Launcher 与宽带拨号有关系 家庭Event Log 公用Plug and Play 公用Remote Access Auto Connection Manager 与宽带拨号有关系 家庭Remote Access Connection M
2005-10-15 13:24:00
1446
1
原创 电信老总洗澡奇遇记
电信老总洗澡奇遇记 -------------------------------------------------------------------------------- 电信部门的领导回到当年插队的地方看望老朋友,刚下车他就住进了镇里的一家招待所。经过一路的颠簸,领导身上汗渍渍的,他便想洗个热水澡。招待所条件有限,只有一个公用的澡堂。 领导来到澡堂门口被一各服务
2005-10-14 18:45:00
1069
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人