- 博客(10)
- 资源 (15)
- 问答 (3)
- 收藏
- 关注
RSS订阅原创 附加IP报文option字段
对于IPv4报文,头部长这样: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service
2022-03-18 19:52:30
7002
原创 DRIVER_POWER_STATE_FAILURE蓝屏分析
本文主要对DRIVER_POWER_STATE_FAILURE蓝屏分析_xdesk的专栏-优快云博客_driver_power_state_failure的一些说明,大佬写得太跳跃了,一些地方不明白,记录一下。不过仍然还是存在一些不明白的地方。1、先 !analyze -v看一些诊断信息0: kd> !analyze -v*******************************************************************************.
2022-02-24 19:27:39
8982
原创 SSH详解
说明一下整个过程1、TCP握手建立连接2、Banner报文Client => Server banner消息,就是一个hello包 ,带上版本信息和标识Server => Client banner消息,也是一个hello包3、Key Exchange Init交换客户端和服务器双方支持的加密组件的协议和版本,并选择双方支持的协议和最高版本Server => ClientClient => ServerClient =>...
2022-02-24 18:56:03
2933
转载 揪出那些在Windows操作系统中注册的WFP函数
首先,minifilter有!fltkd.的命令,ndis有!ndiskd.的命令,但是WFP却没有类似的命令。尽管有netsh wfp的命令和类似的接口/API(FwpmEnum),但是都没有获取到注册的函数的.有些用户,包括自己,是尽量想获取到注册的函数,而不止是那些注册的信息。所以,出现了本文。分析的办法有二,一正向分析,分析注册的函数(FwpsCalloutRegister),步步跟踪。二逆向分析,在注册的函数上下断点,根据调用栈步步向上逆向跟踪。上面是引子下面是方案
2022-01-26 11:06:09
851
原创 Windbg堆内存
一般要查内存泄露在没有verify的情况下比较困难,特别是分析dmp无法调试的时候;简单看看是哪个内存块重复分配很多次吧。测试代码如下int main(){ char* pp = nullptr; while (1) { Sleep(1000); pp = new char[10000]; } return 0;}第一步、内存泄露都是在堆上分配的内存,不管是malloc、realloc还是new,或者直接HeapAlloc都是专用内存。先查看堆信息0:
2021-09-24 10:54:48
890
原创 Visual Studio Release C/C++模式下启用代码“编辑并继续”调试功能(边调试边修改代码)
Debug默认就可用这个功能,Realse需要关掉下面的设置才可以用。记录一下C/C++=》常规=》调试信息格式=》用于“编辑并继续”的程序数据库(/Zi)C/C++=》优化=》优化=》已禁用C/C++=》优化=》全程序优化=》否链接器=》常规=》启用增量链接=》是(/INCREMENTAL)链接器=》优化=》引用=》否(/OPT:NOREF)链接器=》优化=》启用COMDAT折叠=》否(/OPT:NOICF)...
2021-08-20 16:52:27
1285
原创 判断进程是否是.Net Core及其版本
阅读Process Hacker的代码发现存在两种做法;参见函数PhGetProcessIsDotNetEx1、NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_v4_" .Net Core 4.0NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_" .Net Core 2.0NtOpenFile 打开 L"\\Device\\NamedPip.
2021-06-24 00:36:50
576
原创 Windbg查看PsSetCreateProcessNotifyRoutine进程创建回调
kd> dd nt!PspCreateProcessNotifyRoutineCount L1 fffff803`6defadcc 00000006 kd> dd nt!PspCreateProcessNotifyRoutineExCount L1 fffff803`6defadc8 00000002
2021-06-03 20:15:15
429
原创 Windbg查看WFP驱动callout
kd> dp netio!gWfpGlobal L1 fffff801`96a63258 ffffe001`b9e025b0 kd> u netio!FeInitCalloutTable L10 NETIO!FeInitCalloutTable: fffff801`96a22490 4053 push rbx fffff801`96a22492 4883ec20 sub rsp,20h fffff801`96a22496 488b05bb0d0400 mov rax,qw
2021-06-03 20:11:41
690
翻译 获取 COM 服务器进程 ID 的 3 种方法
要创造新产品,拥有标准化和可靠的组件非常重要。例如,房屋建筑商使用标准尺寸的砖建造房屋。在编程方面,我们有开发标准。这些标准之一是由 Microsoft 创建的组件对象模型 (COM)。COM 有效地解决了代码重用问题,但其部分功能的实现尚不明确。例如,在开发数据泄漏保护系统时,您可能需要获取 COM 服务器进程 ID (PID) 以检查进程如何处理敏感数据。Microsoft 的文档没有提供明确的方法来执行此操作,因此我们决定分享我们的经验。在本文中,我们解释了 COM 服务器的工作原理,并展示了获取
2021-06-03 19:51:43
2526
Sandboxie-5.40.1.zip
2020-06-15
usbview-vs17-master.zip
2020-06-15
mimikatz-master.zip
2019-07-06
mfcmapi-master.zip
2019-05-21
语音播报vc++工程文件 vs2008 直接打开
2015-08-16
socket http 报文头部 vc++ readline 函数
2017-02-23
sha1 我要怎么做才能变成sha256
2017-02-21
windows 修改connect参数
2017-02-08
TA创建的收藏夹 TA关注的收藏夹
TA关注的人