vincent_1011的专栏

/*******************************************************/*《加密与解密》第三版配套实例/* 第15章 反跟踪技术/*15.2.3 ThreadHideFromDebugger/* code by forgot 2008.3/*(c) 看雪软件安全网站 www.pediy.com 2000-2008********

一点代码，上传的工程换成图片格式上传，可以下载到本地然后改成rar即可解压附件下载  // 超子类化.cpp : Defines the entry point for the application.//#include "stdafx.h"LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);//外部变量

 转载）http://vcer.net/1047209431368.html 预编译头文件今天在改一个很大的程序，慢慢看，慢慢改。突然发现一个.c文件，里面什么也没有， 就几个头文件，我一看，我靠，这不是把简单的问题搞复杂了吗，随手删掉那个c文件。 结果不能编译了，我靠： fatal error C1083: Cannot open precompiled head

SDK窗口窗口和EDIT控件，并且过滤了EDIT控件输入1，2，3 下次弄个超子类化看看。。 #include #include LRESULT CALLBACK WinProc(HWND, UINT, WPARAM, LPARAM);//子类化消息处理函数LRESULT CALLBACK subClassWinProc(HWND, UINT, WPARAM, LP

把书上的例子NDIS那个协议驱动例子搬到VS2008上， 搞了好几个小时，终于可以睡了 我的向导是用ddkWizar搞的 把项目搞过去之后，预料之中，编译不过。。 ddkWizar默认是生成.c工程的。 大概搞三个地方就能顺利通过 1。source 文件中加上一行TARGETLIBS=$(DDK_LIB_PATH)/ndis.lib，（奇怪我在配置的

 如果ESP的话就这样string [[esp+8]] =="abcd"这样就是当第2个参数是abcd时就断下来 直接寄存器的话就是string [edi] =="ABCD" 要是单个字符就是byte ptr[edi] == g OK，够用了。

 转载：http://hi.baidu.com/dxng/blog/item/26b7e595ddda104ed0135e47.html  Windows 2000/XP 系统对U盘的处理过程入手，逆向彻底消除U盘使用痕迹2008/06/20 21:55如何彻底消除U盘使用痕迹？网上有许多资料，但是都是难以理解，假设作为操作系统，它不会保存无意义的U盘使用痕迹(如果故

读取FAT表和FDT函数部份代码 来源网上的 “Windows系统文件操作”  稍做修改，巩固下对FAT32文件格式的理解。下步就弄NTFS的了 源码代码 http://download.youkuaiyun.com/source/1957045

为了搞清楚HOOKING-COM ，学会了COM的几个概念，接口，对象，类厂，代理/存根,套间。 里面东西很有意思。。。。这东西挺考C++类的功夫的，多重继续实现对象的多接口，特别是在queryinterface，强制转换返回接口时，那个this的转换很有意思  只要是看了《COM原理与应用》这本书，和网上的一些资料。可惜《COM原理与应用》是PDF，没法复制一点笔记下来，自己

要安装在udp之上.（代码来源网络）1。枚举所有的，找到UDP的入口WSAPROTOCOL_INFOW2。拷备一个WSAPROTOCOL_INFOW到2个变量中，下面安装的的LSP需要分层和协议链WSAPROTOCOL_INFOW inf1,inf23。修改几个必要的字段和标志位4。然后把这个分层服务inf1安装上去5。再一次枚举所有的，找到刚刚安装

在有些情况下需要得到函数调用者的模块名字。比如你想限制你的某个函数只能被自己某个特定的DLL调用。 或者比如在异常处理中你想了解是那个DLL/EXE抛出了异常。  API函数_ReturnAddress 和GetModuleHandleEx 函数可以帮助我们达到这个目的。以下代码演示它们的用法：void ShowCallerModuleName()  {  

写得不错，转下，来自JIURL大牛的   页目录的地址为什么是C0300000，1个页目录加上1024个页表为什么只使用了1024*4K的地址空间    对于要映射整个4G地址空间，是需要1024个页表和1个页目录的,每个都是4KB大小，也就是1024*4KB+1*4KB=4MB+4KB。而实际中Win2k把每个进程的页目录和页表映射到了从 0xC0000000到0xC03

一段看雪的北极星2003大哥写的程序------ULONGGetPlantformDependentInfo( ULONG dwFlag) { ULONG current_build; ULONG ans = 0; PsGetVersion(NULL, NULL, &current_build, NULL);

/*端口映射PortTransfer_三种模式。(1) PortTransfer Port Dest_IP Port在运行本程序的计算机上监听Port端口，并将所有连接请求转到Dest_IP的Port去(2) PortTransfer ctrlIP ctrlPort Dest_IP Port和模式3配合用，程序将先主动连接ctrlIP:ctrlPort,之后所有在模式3的S

 方法：1.先用OpenProcess 打开目标进程的进程空间，得到句柄2.使用NtQueryInformationProcess这个API去读取进程里面的PE块的基地址也就是：PebBaseAddress3.继续使用ReadProcessMemory，从这个PebBaseAddress，开始读取PEB（PE Block），这时候可以得到ProcessParameters，进程的参

  内核中有两个系统服务描述符表一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。 两者的区别是：KeServiceDescriptorTable仅有ntoskrnel一项，KeServieDescriptorTableShadow包含了ntos

转于：http://hi.baidu.com/combojiang/blog/item/7c32ff2dc1ce7932359bf732.html  1）首先要获得进程访问令牌的句柄，这可以通过OpenProcessToken得到，函数的原型如下：BOOL    OpenProcessToken(          HANDLE   

笔记下，有空就验证下。 Hook IAT的时候有局限性局限性：１当程序运用一种叫late-demand binding技术，函数被调用时才定位地址，这样以来就不能在IAT中定位目标函数地址了．２当目标程序用动态加载（LoadLibrary)时，这种方法也将失效． 我想我可以一开始就HOOk一个程序一启动就绝对会调用的函数，然后在我的函数中调用我真正要Hook的函数不就可以解决局

void main(){ int **p; int a=5; *p=&a; printf("%d",**p); } 这是编译不过的，后来用VC调试了下，发现是这样的因为*p其实是p所指向的一个内存单元，而p却未指向任何地方，所以*p=&a这句是通不过的之前没深想，认为 初始好p后，p和*p的指针值一样，其实不然，

1. $t-$t19 伪寄存器 使用 r $t0=123 /r? $t0=123 前者的$t0是默认整形，后者是自动获取类型2. &可以用来取变量地址，例如r？ $t1=&@$peb->ldr ，这样$t1就是ldr变量的地址（不是值)3. dt 用来显示一个结构例如dt -r1 nt!_EPROCESS ，其中r是用用显示其下的子结构       dt  nt!_EPROCESS -y ActiveProcess用来显示指定字段     dt l 用来显示链表，复杂，后面补上4. !a