随笔分类 - 汇编/驱动
摘要:P 排序标记列表中的通过分页,无-分页或混合。请注意 P 循环通过每个。B 进行排序按最大字节使用情况的标记。M 按最大字节分配对标签进行排序。T 按标记名称按字母顺序排序标记。E 显示分页,跨底部未分页的总计。循环。A 按分配大小对标签进行排序。F 按"释放"对标记进行排序。S 按 allocs 的差异对标签进行排序,并释放。E 显示分页,跨底部未分页的总计。循环。Q 退出。
阅读全文
摘要:****保存dos断点 push ds sub ax,ax push ax ****寄存器进栈 pushseg macro push ax push bx push cx push dx push si push di endm ****寄存器出栈 popseg macro pop di pop si pop dx pop cx pop bx pop ax endm ****DOS中断21H d...
阅读全文
摘要:;-----------------------------------------------------------------------; 显示字符串的子函数—— ;-----------------------------------------------------------------------assume cs:code,ds:datadata seg...
阅读全文
摘要:x86 系统中断 ______________________________________________________________________________ 直接系统服务(Direct System Service) INT 00H - “0”作除数 INT 01H - 单步中断 INT 02H - 非屏蔽中断(NMI) INT 03H - 断点中...
阅读全文
摘要://// status codes returned by drivers//#define NDIS_STATUS_SUCCESS ((NDIS_STATUS)STATUS_SUCCESS)#define NDIS_STATUS_PENDING ((NDIS_STATUS)STATUS_PENDING)#define NDIS_STATUS_NOT_RECOGNIZED ((NDIS_STATU...
阅读全文
摘要:启用迅雷的智能限速时要小心,时不时会引起蓝屏!已经搞坏了一块硬盘了!1: kd> !analyze -v******************************************************************************** ** Bugcheck Analysis ** ****************************************...
阅读全文
摘要:修改:winnetstandard.vmxvmmouse.present ="FALSE"svga.forceTraces = "TRUE"一定要启用硬件加速下载符号从windbug中找到文件dbghelp.dll,symsrv.dll替换相应文件
阅读全文
摘要:[代码]加入花指令前后if语句发生的变化加入花指令后cmp指令已经看不到了增加了破解的难度
阅读全文
摘要:ADPlus 命令行开关要使用 ADPlus,您必须为脚本指定一系列命令行开关或参数。ADPlus 至少需要两个开关:一个开关指定操作模式,另一个开关指定要对其执行操作的目标进程。下面列出了最常用的开关。您还可以通过运行“ADPlus –help”,或通过阅读调试程序帮助文件 (Debugger.chm) 来查看完整的开关列表。 -hang此开关将 ADPlus...
阅读全文
摘要:替换文件即可http://files.cnblogs.com/ahuo/KILLS.rar
阅读全文
摘要:驱动程序验证程序功能可通过运行 Verifier.exe 并随后重新启动计算机来使用驱动程序验证程序。要开始分析系统中的驱动程序,您不需要进行其他任何更改。 驱动程序验证程序提供以下功能。 池分配尝试从特殊池中分配一个驱动程序的所有池配额。此驱动程序的配额是由“拒绝访问”权限分离和限定,而不是与系统的其他部分共享池配额。此功能可以确定驱动程序的池配额是否超出了其应得的份额,...
阅读全文
摘要:后台服务方式:被调试端dbgsrv.exe -t tcp:port=1234,password=abcc调试端windbg.exe -premote tcp:server=192.168.0.43,port=1234,password=abcc远程控制方式:被调试端先开启windbg,运行命令.server tcp:port=2345调试端windbg.exe -remote tcp:server=192.168.0.43,port=2345界面操作是:
阅读全文
摘要:5.1[代码]6.0[代码]
阅读全文
摘要:unsigned short checksum(unsigned short* usBuf, unsigned int nSize){unsigned long usChksum=0;//Calculate the checksumwhile (nSize>1){usChksum+=*usBuf++;nSize-=sizeof(unsigned short);}//If we have one char leftif (nSize)usChksum+=*(unsigned char*)usBuf;//Complete the calculationsusChksum=(usChksum
阅读全文
摘要:C:\Program Files\Debugging Tools for Windows (x86)>symchk /r c:\windows\system32\kernel32.dll /s SRV*i:\sym\*http://msdl.microsoft.com/download/symbolssymchk /r c:\windows\system32 /s SRV*c:\symbol...
阅读全文
摘要:InterlockedCompareExchange属于互锁函数 类似的还有下面的几个 (1) LONG InterlockedExchangeAdd ( LPLONG Addend, LONG Increment ); Addend为长整型变量的地址,Increment为想要在Addend指向的长整型变量上增加的数值(可以是负数)。这个函数的主要作用是保证这个加操作为一个原子访问。 ...
阅读全文
摘要:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]"DEFAULT"=dword:00000008
阅读全文
摘要:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]"Debugger"="C:\\Program Files\\Microsoft Visual Studio\\Common\\MSDev98\\Bin\\MSDEV.EXE -p %ld -e %ld""UserDebuggerHotKey"=dwor...
阅读全文
摘要:使用 Gflags.exe 实用工具 选择 启用池标记 。 单击 应用 ,然后单击 确定 。 使用 Poolmon 收集信息 PoolMon 显示命令窗口中的池标记信息。 使用箭头键或 Page Up 和 Page Down 键显示由该工具返回所有标记信息。 poolmon [itag] [xtag] [switch] 参数及说明: itag :仅列出与内存池匹配的标记名字,标记...
阅读全文
摘要:状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3。 这几个寄存器中保存全局性和任务无关的机器状态。 CR0中包含了6个预定义标志,0位是保护允许位PE(Protedted Enable),用于启动保护模式,如果PE位置1,则保护模式启动,如果PE=0,则在实模式下运行。1位是监控协处理位MP(Moniter coprocessor)...
阅读全文
浙公网安备 33010602011771号