xrain_zh的专栏

标 题: 【原创】一种保护应用程序的方法 模拟Windows PE加载器，从内存资源中加载DLL作 者: shangzh时 间: 2012-04-12,23:14:51链 接: http://bbs.pediy.com/showthread.php?t=149326一种保护应用程序的方法-模拟Windows PE加载器，从内存资源中加载DLL 作者：老实和尚  cove

来自：http://www.cnblogs.com/fangyukuan/archive/2010/08/31/1813949.html跨越进程边界共享内核对象有三种方法：对象句柄的继承性命名对象复制对象句柄复制对象句柄共享跨越进程边界的内核对象的最后一个方法是使用BOOL DuplicateHandle( HANDLE hSource

来自：http://blog.youkuaiyun.com/chence19871/article/details/37881101一些在编程中经常要用到的功能编写成函数，方便使用.[cpp] view plaincopy#include     //系统类型  typedef enum SystemType  {      WINDOWS_2000 = 1, //5.

来自：http://blog.youkuaiyun.com/chence19871/article/details/6664125看过《0day安全：软件漏洞分析技术》的童鞋们都知道在内存中的堆分两种情况，一种为常态堆，另一种为调试态堆。但自己以前在调试的时候并没有深刻领会到这一点。今天在调试的时候偶然间深刻领会到这一点。下面分两种情况来查看堆块的内存结构：1. 常态堆先打开P

来自：http://blog.youkuaiyun.com/chence19871/article/details/38087155DLL的搜索路径顺序： ·  The directory from which the application loaded.·  The system directory.·  The 16-bit system directory.· 

来自：http://blog.youkuaiyun.com/buck84/article/details/8289991目录(?)[-]拦截二进制函数使用DetoursPayloads和DLL导入编辑Detour 32位和64位进程拦截二进制函数        Detours库可以在运行过程中动态拦截函数调用。detours将目标函数

最近在论坛上看到一个帖子，读取输入框中的内容，我也正在做这方面东西，于是就动手做了一下，原本以为很简单的东西，实际着手去做的时候倒是遇到了不小的麻烦。       首先想要获得一个未知的对话框的EDIT控件的内容无非就是几个步骤：1，获得所要获得内容的句柄2，获得控件句柄3，获得控件内容       第一步没什么好说的关键在于第二步和第三步，我上网查了好多资料，可就是不能得到重

http://www.cppblog.com/Lee7/archive/2008/08/15/58952.html

来自：http://bbs.pediy.com/showthread.php?t=151939为什么要修复IAT?首先得说一下程序调用DLL导出函数的原理，PE调用DLL里的函数，一般是先加载这个DLL模块到它的进程地址空间，然后在加载后的地址范围内找到每个调用函数的地址，在程序中你可以使用LoadLibrary()这个系统API去动态去加载某个DLL，再通过G

标 题: 论用C++做壳作 者: dogwang时 间: 2006-03-03,17:16:15链 接: http://bbs.pediy.com/showthread.php?t=22079在坛子里面混了很久了,这里面90%都是破解,很少有加壳的文章.我自己对加壳很感兴趣,所以就自己动手做了个壳,当然这其中也得到了其他人的一定帮助,我想把我的经验分享一下.1. 加壳语

重定位相关知识，为什么要重定位

来自：http://blog.youkuaiyun.com/broadview2006/article/details/8782748由于保护模块通常会Hook操作系统的原生DLL接口来进行保护，所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。在分析的过程中，为了防止被Ring 3保护模块发现，暂时可以先把除了自己线程外的其他线程暂停，