- 博客(29)
- 资源 (10)
- 收藏
- 关注
RSS订阅转载 原始套接字伪造发包
这里介绍Windows Sockets的一些关于原始套接字(Raw Socket)的编程。同Winsock1相比,最明显的就是支持了Raw Socket套接字类型,通过原始套接字,我们可以更加自如地控制Windows下的多种协议,而且能够对网络底层的传输机制进行控制。1、创建一个原始套接字,并设置IP头选项。SOCKET sock;sock = socket(AF_INET,S
2011-11-02 17:08:40
4926
1
转载 隐藏进程 hook ZwQuerySystemInformation
原来的代码是隐藏_root_为了调试方便,改为了AcroRd32// BASIC ROOTKIT that hides processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.3 - Added defines to compile on W2K, and comments. Rich// v0.4 - Fi
2010-10-28 10:12:00
3733
转载 文件系统驱动(IFS DDK)学习笔记 (转)
<br />文件系统驱动是windows系统中最复杂的驱动种类之一。它的全称IFS DDK是指可安装文件系统设备驱动程序开发工具。这方面的资料非常少,我从网上找到的资料大都是文档,都是一些在学习文件系统驱动的人自己写的,几乎没有这方面的专门书籍,更不用说中文资料了。而且ifs ddk中的帮助文档没多大意义,文件系统相关的ddk帮助极其简略,很多重要的部分仅仅轻描淡写的带过。<br />下图是我们的IFS DDK在堆栈中的位置<br />I/O管理器<br />文件驱动<br />中间驱动层<br />设备驱
2010-10-28 10:06:00
1089
转载 FastIo接口介绍(转)
<br />由于你的驱动将要绑定到文件系统驱动的上边,文件系统除了处理正常的IRP 之外,还要处理所谓的FastIo.FastIo是Cache Manager 调用所引发的一种没有irp 的请求。换句话说,除了正常的Dispatch Functions 之外,你还得为DriverObject 撰写另一组Fast Io Functions.这组函数的指针在driver->FastIoDispatch.<br />首先需要了解的是:FastIo 是独立于普通的处理IRP 的分发函数之外的另一组接口。但是他们的作
2010-10-28 10:05:00
1025
转载 文件系统过滤驱动基础知识
一、何谓文件系统过滤驱动? 文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。 文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,以文件系统过滤驱动为核心的应用程序有防毒软件、加密程序、分级存储管理系统等。二、文件系统过滤驱动并不是设备驱动<br /> 设备驱动是用来控制特定
2010-10-28 10:01:00
756
原创 PE文件的有效性判断
PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
2010-09-28 16:14:00
1144
转载 char 转wchar_t 及wchar_t转char
<br />#include <tchar.h>#include <windows.h>int _tmain(int argc, _tchar* argv[]){wchar_t pwstr[] =l"我是中国人";wchar_t pwstr2[20]; char *pcstr = (char *)malloc(sizeof(char)*(2 * wcslen(pwstr)+1)); memset(pcstr , 0 , 2 * wcslen(pwstr)+1 );
2010-08-06 09:49:00
1222
转载 用 GetEnvironmentVariable 获取常用系统环境变量
以前曾用 GetWindowsDirectory、GetSystemDirectory、GetTempPath 等函数获取系统常用文件夹;也用过 SHGetSpecialFolderLocation、SHGetPathFromIDList 函数获取过更多常用路径;但这都不如用 GetEnvironmentVariable 获取系统变量来得快.//譬如 %WI
2010-03-23 11:25:00
668
转载 windbg release下"Your debugger is not using the correct symbols"的问题
用windbg调试Release版本,查看source code窗口中的变量值,发现有些变量无法在windbg显示值,而提示“Your debugger is not using the correct symbols...”,检查模块加载的pdb没有任何问题,加载了正确的pdb,但就是有些变量的值显示不出来。之前用VS2005调试Release版本也出现过问题,能显示所有值,但显示的
2010-01-12 16:13:00
1887
原创 WinDbg查看数据(初级)
db/dw/dd/dq 地址 : 字节 / 字 / 双字 / 四字方式查看数据 <v:shapetype id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f">
2010-01-12 12:29:00
1256
转载 Windows Vista 交互式服务编程
Windows Vista 对快速用户切换,用户账户权限,以及服务程序所运行的会话空间都作了很大的改动,致使一些原本可以工作的程序不再能够正常工作了,我们不得不进行一些改进以跟上 Vista 的步伐。我们的软件在Windows NT/2000/XP/Vista 系统中安装了一个系统服务,这个服务负责以 SYSTEM权限启动我们的主程序。我们的主程序启动后会在系统托盘添加一个图标,点击此
2009-12-15 19:19:00
531
原创 Vista操作系统中,控制面板图标的隐藏办法
vista中,对控制面板上的图标进行隐藏的办法:通过写注册表隐藏cpl文件,如果对隐藏cpl文件无效时,则要通过隐藏GUID的办法。但是,网上的好多资料,只能在xp或2000下生效,我在进行这个工作的时候,被网上的资料骗的好惨。所以把我经过检验的cpl文件和UUID列举出来,希望大家少走点歪路。 注意:必须在隐藏cpl无效的情况下,才可用GUID,否则,无效。 修改CPL的方法为:
2009-12-09 19:42:00
1679
3
原创 对电源进行操作的定时器
由于没有时间,就写一个比较简易的定时器程序 // TimerTest.cpp : 定义控制台应用程序的入口点。#include "stdafx.h"#include #include using namespace std;#define FAIL_IN_CREATE_TIMER 1#define FAIL_IN_SET_TIMER 2#define FAI
2009-12-08 19:15:00
687
原创 添加控件对话框不显示的问题
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty
2009-11-24 19:37:00
3467
1
原创 Win2000/xp下注册表修改和组策略详解(10)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Style
2009-11-24 19:00:00
1185
原创 Win2000/xp下注册表修改和组策略详解(9)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty
2009-11-24 18:58:00
2272
原创 Win2000/xp下注册表修改和组策略详解(8)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Style
2009-11-24 18:56:00
1258
原创 Win2000/xp下注册表修改和组策略详解(7)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Style
2009-11-24 18:55:00
1282
原创 Win2000/xp下注册表修改和组策略详解(5)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Style
2009-11-24 18:54:00
1165
原创 Win2000/xp下注册表修改和组策略详解(4)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty
2009-11-24 18:52:00
856
原创 Win2000/xp下注册表修改和组策略详解(3)
<!-- /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-a
2009-11-24 18:40:00
1091
原创 Win2000/xp下注册表修改和组策略详解(2)
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Fon
2009-11-24 18:33:00
1017
转载 Win2000/xp下注册表修改和组策略详解(1)
《开始菜单及相关设置》[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]"NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单)"NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史
2009-11-20 16:28:00
1002
原创 使用Windows计数器的方法
获得系统进程列表:先用CreateToolhelp32Snapshot()函数生成系统进程快照,然后用Process32First()和Process32Next()就可以获得进程名称和对应的PID了 对指定的进程,获得它的拥有者:先用OpenProcess()打开指定进程,再用OpenProcessToken()获得令牌,再
2009-11-19 13:36:00
612
原创 获取本地服务列表
#include #include #define ERRORINGETLOCALSERVICELIST 1DWORD GetLocalServiceList(){ DWORD dwErrorCode = NULL; DWORD dwRet = NULL; DWORD dwBufSize = NULL; DWORD dwByteNee
2009-11-17 19:09:00
1004
转载 获取信息的有关Windows API
1.窗口信息MS为我们提供了打开特定桌面和枚举桌面窗口的函数。hDesk = OpenDesktop(lpszDesktop, 0, FALSE, DESKTOP_ENUMERATE);// 打开我们默认的Default桌面;EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc, 0);// 枚举打开
2009-11-17 19:04:00
614
转载 Win2000下注册表修改和组策略详解
《组策略/用户配置/管理模板/Windows组件/Micorsoft Management Console》[HKEY_CURRENT_USER/Software/Policies/Microsoft/MMC]"RestrictAuthorMode"=dword:00000001(禁止用户进入编辑模式)(至少WIN2000)"RestrictToPermittedSnapi
2009-11-17 13:16:00
859
转载 windows操作系统中SID是什么??
SID也就是安全标识符(SecurityIdentifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。Windows 2000 中的内部进程将引用帐户的 SID而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同
2009-11-17 11:20:00
7782
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人