2012年5月23日
[IRP HOOK] 键盘过滤驱动学习
摘要: 标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天;真的发现,学东西是速成的,断断续续拖拖拉拉的今天学过几天又忘记了。写下此篇文章作为备忘以及借用百度空间的搜索率来帮助后来的同学!感谢北极星2003写的键盘过滤驱动之IRP劫持,读者会发现两份代码雷同之处很多;附上关键代码/************************************* 阅读全文
posted @ 2012-05-23 14:08 Y4ng 阅读(3749) 评论(0) 推荐(0)
2012年3月21日
通用ShellCode学习笔记 2003/XP/Win7/Vista/Win8 通用
摘要: 一、ShellCode的编写Kernel32地址的获取由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置esi=fs:0->TEBesi=TEB:30h->PEBesi=PEB:0ch->_PEB_LDR_DATAesi=_PEB_LDR_DATA:1ch->内存中的dll的地址[esi]-> 内存中的下一个dll的地址(00h指向下一个Ldr_Module)[esi+08h]->esi指向的地方的 阅读全文
posted @ 2012-03-21 02:07 Y4ng 阅读(2781) 评论(2) 推荐(0)
2012年1月9日
虚拟机检测
摘要: #include <Windows.h>#include <stdio.h>void main(){ byte lpTest[]={"\x8b\x4c\x24\x04\x0f\x01\x09\xc3"}; byte lpbutter[MAX_PATH]={0}; CallWindowProcW((WNDPROC)&lpTest,(HWND)&lpbutter,0,0,0); if (lpbutter[5]>0xd0) { printf("虚拟机"); } else { printf("是真实机器&q 阅读全文
posted @ 2012-01-09 19:54 Y4ng 阅读(519) 评论(0) 推荐(0)
2012年1月7日
搜索PEB结构获取Kernel32.dll基址
摘要: TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEB,PEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA 该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针,分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。 Peb->Ldr->InitializationOrderModuleList指向按照初始化顺序排序的第一个LDR_MODULE节点的InInitializationOrderModuleList成员的指针,在WinNT平台下,该链表头节点的LDR_MODULE结构包含的是NTDLL.DLL,而链表的下一个节点所包含的就是Kernel32.dll相关的信息。 汇编核心代码 阅读全文
posted @ 2012-01-07 17:43 Y4ng 阅读(2326) 评论(0) 推荐(0)
2011年12月13日
动人心魄音乐 [身骑白马 徐佳莹]
摘要: 看到一首徐佳莹的新歌,跟无数听过这首歌,知道这个故事的人一样,心里憋着一股酸...这是打动千年的心酸身骑白马 徐佳莹只是知道这王宝钏的剧情在各个剧种里都有在上演.如今听了这首歌才明了剧中人传唱了千年的酸楚.王宝钏和薛平贵的故事最初起源于秦川大地,王宝钏是唐懿宗时宰相王允的女儿,在家排行老三,三姑娘一向多是悲苦而不幸的代名词.个性刚烈的宝钏没有接受父亲的安排,宁可三掌断绝父女关系,都愿跟随家道中落的薛平贵,当时即使他们身处寒窑,清贫却有简单的幸福.之后战争到来,平贵参军,宝钏了解丈夫的踌躇满志,擦干泪水送他出征.出征西凉,经历了一些平贵认为无可奈何的事情,他娶了西凉公主,一过就是十八年.十八年后 阅读全文
posted @ 2011-12-13 09:46 Y4ng 阅读(583) 评论(0) 推荐(0)
2011年12月11日
数据转换 [StrToHex/HexToStr/IntToHex]
该文被密码保护。 阅读全文
posted @ 2011-12-11 03:07 Y4ng 阅读(392) 评论(0) 推荐(0)
2011年12月9日
Win32 操作剪切板
摘要: Windows剪贴板是一种比较简单同时也是开销比较小的IPC(InterProcess Communication,进程间通讯)机制。Windows系统支持剪贴板IPC的基本机制是由系统预留的一块全局共享内存,用来暂存在各进程间进行交换的数据:提供数据的进程创建一个全局内存块,并将要传送的数据移到或复制到该内存块;接受数据的进程(也可以是提供数据的进程本身)获取此内存块的句柄,并完成对该内存块数据的读取。为使剪贴板的这种IPC机制更加完善和便于使用,需要解决好如下三个问题:提供数据的进程在结束时 Windows系统将删除其创建的全局内存块,而接受数据的进程则希望在其退出后剪贴板中的数据仍然存在 阅读全文
posted @ 2011-12-09 17:11 Y4ng 阅读(8643) 评论(0) 推荐(1)
Win32设置与获取cookies的几种方法
摘要: 最简单的获取cookies的是用InternetGetCookie,函数原型如下:BOOL InternetGetCookie(LPCTSTR lpszUrl,LPCTSTR lpszCookieName, LPSTR lpCookieData, LPDWORD lpdwSize); 这样几句就可以了char Cookie[300]; char *sURL = "http://www.cnblogs.com/Y4ng/";InternetGetCookie(sURL,NULL,Cookie,&leng); 缺陷是nternetGetCookie 只读取 COOKIE 阅读全文
posted @ 2011-12-09 16:46 Y4ng 阅读(6674) 评论(0) 推荐(1)
新博客安家
摘要: 从今天起得认真写博客了, 用来记录自己的生活点滴 技术上的成长,感动的瞬间,难以忘切的记忆! 阅读全文
posted @ 2011-12-09 16:35 Y4ng 阅读(272) 评论(0) 推荐(1)