Lthis

摘要： 原帖：阴沟里翻船之KeSetEventKeSetEvent是个使用频率很高的内核支持函数，但经常使用未必意味着确实了解它。上周就曾遇到一件怪事，系统线程在调用KeSetEvent后线程IRQL竟然从PASSIVE_LEVEL提升至DISPATCH_LEVEL，以至后续的操作出错：Bug Check ... 阅读全文

摘要： 内核使用C++方式编程时声明PsGetProcessId出现这个问题（WDK8.1）解决方法是在前边加上NTKERNELAPI这个宏，如下：//我是在C++里边，C不用加上extern "C"extern "C" NTKERNELAPI HANDLE PsGetProcessId( __in PEP... 阅读全文

摘要： #include "stdafx.h"#include "stdlib.h"#include #include #include int main(int argc, char* argv[]){ BYTE shellcode[12]="\x66\xB8\x01\x20\x66\xBA\x04... 阅读全文

摘要： VC6.0生成文件的种类和作用DSW：全称是Developer Studio Workspace，最高级别的配置文件，记录了整个工作空间的配置信息，她是一个纯文本的文件，在vc创建新项目的时候自动生成DSP：全称是Developer Studio Project，也是一个配置文件，不过她记录的是一个... 阅读全文

摘要： ___security_cookie机制，防止栈溢出从研究底层和汇编以来，已经多次接触到“栈溢出”这个名词了。这次在汇编码中看到了个不明就里的 ___security_cookie ，查了下，原来是编译器的安全检查机制。转载一篇文章：首先，security cookie并不是windows系统自带的... 阅读全文

摘要： 主要是编译器的选项中，将warning视作error,所以就报错了，可以通过修改编译选项来设置，但是这里不这样做，通过#pragma来控制如上图，warning号是C4189,真正的号码是4189，所以加上如下语句即可#pragma warning(disable:4189)如果有多个警告，则在括号... 阅读全文

摘要： 原帖地址将Windbg路径下的symsrv.yes 拷贝到ida 的安装目录，重新分析ntoskrnl.exe， 加载本地的符号表添加环境变量 变量名：_NT_SYMBOL_PATH变量值：SRV*{$Path}*http://msdl.microsoft.com/download/symbols... 阅读全文

摘要： 原帖地址分配粒度：表示每次请求内存的时候最小给分配多少，比如32位操作系统基本上每次分配的是64K大小。分页大小：表示的是页面的大小，32位操作系统是4K是内存管理的最小单位。例如：假设你要请求6k = 4K + 2K的空间，操作系统会一次分配64K的空间放着，又因为内存最小操作单位是4K，所以实际... 阅读全文

摘要： 开发的软件可以通过按钮创建子窗体，在win7下测试正常，在winXP下崩溃。于是搜到以下帖子，没有讲到直接解决方法，因为貌似没有直接解决的方式。通过里边的设置可以捕获异常，然后再分析代码。原帖地址'First-chance exception' usually means an exception ... 阅读全文

摘要： 事件对象同步//CreateEvent设置自定的，并且初始有信号#include#includeDWORD WINAPI ThreadProc1( LPVOID lpParameter );DWORD ... 阅读全文