2016年10月1日

cmd开启3389,无需重启!

摘要: echo DO ALL IN CMD! reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr...阅读全文

posted @ 2016-10-01 15:45 深蓝无忌 阅读(418) 评论(0) 编辑

2015年10月7日

x86的控制寄存器CR0,CR1,CR2,CR3

摘要: 状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3。这几个寄存器中保存全局性和任务无关的机器状态。CR0 中包含了6个预定义标志,0位是保护允许位PE(ProtedtedEnable),用于启动保护模式,如果PE位置1,则保护模式启动,如果...阅读全文

posted @ 2015-10-07 22:49 深蓝无忌 阅读(68) 评论(0) 编辑

x64下fs的角色已经换成了gs

摘要: x64下fs的角色已经换成了gs.暂时发现存储的一些感兴趣的东西,如果有其他的,希望能告知我.gs:[0x20] prcbgs:[0x30] TEBgs:[0x40] Pidgs:[0x48] Tidgs:[0x60] PEBgs:[0x68] LastErrorgs:[0x188] _et...阅读全文

posted @ 2015-10-07 22:27 深蓝无忌 阅读(51) 评论(0) 编辑

2015年10月2日

在win64里,只有一种调用约定

摘要: 在win64里,只有一种调用约定。以下是通过寄存器来传递4个整数类型的例子: *RCX:第一个参数 *RDX:第二个参数 *R8:第三个参数 *R9:第四个参数 参数里开头的4个整数会这样传给栈。传递浮点数参数时,使用的是XMMO-XMM3寄存器。调用约定简化了:一律使用__fastcal...阅读全文

posted @ 2015-10-02 10:44 深蓝无忌 阅读(12) 评论(0) 编辑

2015年10月1日

fs寄存器

摘要: 1、fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。2、对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。T...阅读全文

posted @ 2015-10-01 09:01 深蓝无忌 阅读(120) 评论(0) 编辑

2015年9月30日

【转】C++ 编译器的函数名修饰规则

摘要: 函数名字修饰(Decorated Name)方式 函数的名字修饰(Decorated Name)就是编译器在编译期间创建的一个字符串,用来指明函数的定义或原型。LINK程序或其他工具有时需要指定函数的名字修饰来定位函数的正确位置。多数情况下程序员并不需要知道函数的名字修饰,LINK程序或其他工具会...阅读全文

posted @ 2015-09-30 16:20 深蓝无忌 阅读(23) 评论(0) 编辑

2015年9月29日

windbg ida需要symbols

摘要: _NT_SYMBOL_PATH = symsrv*symsrv.dll*C:\symbols*http://msdl.microsoft.com/download/symbols阅读全文

posted @ 2015-09-29 17:38 深蓝无忌 阅读(21) 评论(0) 编辑

2015年9月24日

WIN7-X64内核模式下编程实现导出表列表查看

摘要: 内核模式下查看导出表需要注意的事项比在用户模式下要考虑更加周详;X64环境倒不是变化太多,指针定是64位的,数据数据及指针指向的数据类型需要注意;不费话,直接上源码,VS2010+WDK7600下编译通过:////// @file aux_list.c/// @author cntom90151//...阅读全文

posted @ 2015-09-24 10:56 深蓝无忌 阅读(64) 评论(0) 编辑

2015年9月23日

VS2010+WDK配置要点

摘要: VS2010+WDK配置要点可以配置user property sheet:1、常规:文件扩展名 .sys2、C/C++include目录;预处理器定义:WIN32;_CONSOLE;_X86_;_DDK_;_DEBUG;DBG=1高级:调用约定,_stdcall(/Gz)代码生成:基本运行时检查默...阅读全文

posted @ 2015-09-23 19:39 深蓝无忌 阅读(25) 评论(0) 编辑

2015年9月20日

win7-64测试环境注意小点

摘要: 1、测试模式: msconifg可配置2、gpedit.msc:关闭管理员类权限3、关闭“Program Compatibility Assistant Service”:net stop “Program Compatibility Assistant Service”4、启动时F8,禁用驱动签名...阅读全文

posted @ 2015-09-20 11:04 深蓝无忌 阅读(9) 评论(0) 编辑

导航