- 博客(28)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 进程隐藏博文 hook
http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html
2014-07-21 22:32:33
759
原创 iocp注意的几点
好久没写博客了。Iocp,这次写文件监控,应该是第一次自己写,以前应该只是看吧,单单写注意点吧。1、CreateIocompletionPort函数,有创建完成端口和关联完成端口两个功能。最后一个参数NumberOfConcurrentThreads如果是0,那么I/o端口会使用默认值,也就是允许并发执行的线程数量为主机的cpu数量。2、当使用CreateIocompletionP
2014-07-21 19:52:53
763
原创 操作系统期末复习
第一章v 1.操作系统是一种﹎﹎A﹎﹎,在操作系统中采用多道程序设计方式能提高CPU和外部设备的﹎﹎B﹎﹎。一般来说,为了实现多道程序设计,计算机需要有﹎﹎C﹎﹎。§ A: (1)通用软件;(2)系统软件;(3)应用软件;(4) 软件包。§ B: (1)利用效率;(2)可靠性;(3)稳定性;(4)兼容性。C:(1)更大的内存;(2)更快的外部设备;(3)更快的CPU;(4)更
2014-06-30 18:27:07
16619
1
原创 原码,补码,反码,移码
原码定义机器字长为n,若数值X是纯整数若数值X是纯小数,对纯小数的原码计算是先将其转换为二进制(必须的~)例:若机器字长为8,则:[+1]原=0 0000001 [-1]原=1 0000001 [+7]原=0 0000111 [+127]=0 1111111[-127]原=1 1111111 [-7]原=1
2014-06-10 16:07:58
933
转载 文件二进制头与文件类型的判断
如果有些文件,比如是媒体文件,因格式太多,如果没有后缀名的话,在WIN下面是很难知道他是什么类型的,只有用播放器去放才知道,最近在网上搜了一下,整理了一些常用文件的头部编码,这些头部编码可以用UltraEdit或是winhex来能过二进制方式打开文件来查看1、从Ultraedit查看的头部编码JPEG (jpg),文件头:FFD8FF PNG (png),文
2014-06-05 23:33:56
3603
原创 OD教程(基础--断点)
•OllyDBG从原理上来区分,有两种不同的断点:软件断点和硬件断点。•也许会有朋友说那不是还有内存断点吗?•内存断点严格来说是属于一种特殊的软件断点。•内存断点:–内存断点每次只能设置一个,假如你设置了另一个内存断点,则上一个会被自动删除。–设置一个内存断点,会改变整块(4KB)内存的属性,哪怕你只设置一个字节的内存断点。–另外还需要提一下的是,内存断点会明显降低OD
2014-05-17 14:13:02
2071
原创 OD教程(多态和变形)
多态和变形 • 多态是第一种对杀毒软件造成严重威胁的技术。• 一个多态病毒在触发时由解密模块进行解密,在感染时由加密模块进行加密并感染,但其加密模块在每一次的感染中会有所修改。• 因此,一个仔细设计的多态病毒在每一次感染中没有一个部分是相同的。这使得使用病毒特征码进行侦测变得困难。杀毒软件必须在一模拟器上对该病毒加以解密进而侦知该病毒,或是利用加
2014-05-17 14:12:35
1189
转载 【翻译】“PE文件格式”1.9版 完整译文(附注释)
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32:12链 接: http://bbs.pediy.com/showthread.php?t=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一---
2014-05-14 01:26:50
1008
原创 常见各种编程环境生成的程序入口点
Borland Delphi 6.0 - 7.000509CB0 > $ 55 PUSH EBP00509CB1 . 8BEC MOV EBP,ESP00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX00509CB7 . 56 PUSH ESI00509CB8 . 57 PUSH EDI0
2014-05-14 00:13:51
1825
原创 OD教程(去除NAG窗口--PE文件结构)
nag本意是烦人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。 一、PE文件结构 为什么需要了解PE文件结构?大家想象一下,某天在班上,小甲鱼突然想知道黑夜童鞋今天穿什么颜色的裤子,要怎么办呢?点名让黑夜童鞋站起来?不行,因为苍老师在上课呢。那小甲鱼就只好掏出班级里的座位
2014-05-11 22:48:23
1412
原创 OD教程(汇编基础)
一、call有以下几种方式:call 404000h ;直接跳到函数或过程的地址call eax ;函数或过程地址存放在eaxcall dword ptr [eax]call dword prt[eax]call dword ptr [eax+5]call dword prt[eax+5]calldword ptr [] ;执行一个系统API
2014-05-11 21:29:10
8765
原创 P2P技术(NAT基础)
1. NAT分类根据Stun协议(RFC3489),NAT大致分为下面四类1) Full Cone这种NAT内部的机器A连接过外网机器C后,NAT会打开一个端口.然后外网的任何发到这个打开的端口的UDP数据报都可以到达A.不管是不是C发过来的.例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.
2014-05-05 01:43:39
930
转载 Deferred Procedure Call Details(延迟过程调用详解)
Deferred Procedure Calls (DPCs) are a commonly used feature of Windows. Their uses are wide and varied, but they are most commonly used for what we typically refer to as "ISR completion" and are the
2014-04-27 16:31:13
3063
转载 中断请求与中断请求级
中断是异步过程调用,简而言之就是打断当前CPU正在执行的任务转而去执行另一个任务windows在初始化时,为每种中断安装了一个中断处理例程---ISR(intterupt service routine),它们储存在IDT(intterupt dispatch table中断分发表)中,每次发生中断,处理都将询问中断控制器,中断控制器会将当前发生中断映射成一个中断号,用这个中断号作为索引在ID
2014-04-27 16:29:55
1504
转载 Intel 8042键盘控制器详细介绍
本文转自http://shanzy.bokee.com/834368.htmlps/2 键盘硬件概述 对于驱动来说,和键盘相关的最重要的硬件是两个芯片。一个是 intel 8042 芯片,位于主板上,CPU 通过 IO 端口直接和这个芯片通信,获得按键的扫描码或者发送各种键盘命令。另一个是 intel 8048 芯片或者其兼容芯片,位于键盘中,这个芯片主要作用是从键盘的硬件中
2014-04-24 14:45:42
4616
原创 windwos键盘的过滤(Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
2014-04-24 14:33:17
1466
原创 基础篇
说明csdn老说包含敏感词汇,所以就在百度空间写了http://hi.baidu.com/ccnycsejusbisxd/item/168208fa002b30fc43c36a63
2014-04-21 20:52:13
553
原创 windows键盘的过滤(HOOK分发函数)
前一篇文章讲述了进行键盘过滤,截取用户输入的方法。本篇文章开始更加深入地讨论键盘的过滤与反过滤对抗。无论是过滤还是饭过滤,原理都是过滤,取胜的关键在于谁第一个得到信息。 一种方发是Hook分发函数,即将键盘驱动的分发函数替换成自己的函数用来达到过滤的目的。 1.获得类驱动对象 首先要获得键盘类驱动对象,才能去替换下面的分发函数。这个操作较为简单,因为
2014-04-17 19:37:45
1684
原创 键盘的过滤(绑定驱动kdbclass的所有设备对象)
一、首先irp的传递流程1、I/O管理器创建一个空的IRP,然后将该IRP沿设备堆栈向下传递,比如IRP_MJ_CREATE、IRP_MJ_READ2、如果驱动程序设置的分发函数捕获到IRP_MJ_CREATE,那么可以在这个分发函数(CREATEdispatch)中对该IRP进行操作,比如IoSetCompletionRoutine,这样当该IRP返回的时候,我们的驱动程序就
2014-04-17 19:20:21
2229
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人