乘舟凉

摘要： 因为我喜欢把功能封装成函数集中放在头文件中，要导入两个我自己编写的头文件 链接: http://pan-yz.chaoxing.com/share/info/e9683ebe7126a18f 首先是注入程序 他可以将dll注入至pid>100的进程中 也可以卸载dll 隐藏进程3.c #includ 阅读全文

摘要： 今天碰到了三个问题 第一：vs 2010 的变量要在函数的开头声明 第二： 一点要注意函数的调用方式，已经是第二次错误了 第三：VirtualProtect的权限最好用最好权限PAGE_EXECUTE_READWRITE,不然有可能会出错。 通过这个代码钩取我学到遇到问题一定要冷静 ，不要太过贪心急 阅读全文

摘要： NTSTATUS WINAPI ZwQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, //枚举类型，用户输入值选择要查询的信息 _Inout_ PVOID SystemInformation, 阅读全文

摘要： #include <stdio.h> #define STATUS_SUCCESS ((NTSTATUS)0x00000000L) #define STATUS_UNSUCCESSFUL ((NTSTATUS)0xC0000001L) #define STATUS_INFO_LENGTH_MISMA 阅读全文

摘要： 有些window API 是标准调用 如ZwQuerySystemInfoMation 要在函数名前加WinAPI 这样编译器就会在函数内部处理参数 有些window API 是c语言方式调用 如MessageBox 不用做特殊处理，这样编译器就会在函数调用后在外部处理参数 阅读全文

摘要： 函数指针对我来说一直是老大难得问题，今天我终于对于他有了一点点理解。 一般情况下，对于函数指针大多数是下面两种情况: 1.void (*PFN_SetProcName)(LPCTSTR szProcName); 2.typedef void (*PFN_SetProcName)(LPCTSTR sz 阅读全文

摘要： 其实调试dll的方式十分简单，你只到在dll的代码页上打断点，再用vs启动要加载dll的程序即可。 但是如果我们要调试被注入的dll怎么办呢？ 假如我们要调试被注入notepad的dll怎么办呢？ 第一步:在dll代码上打断点 第二步: 附加到notepad程序 点击调试 点击附加到程序 然后选择n 阅读全文

摘要： 此代码为转载：https://www.cnblogs.com/citrus/p/13322365.html#ifdef __cplusplus extern "C"{ #endif //C代码内容所在位置 #ifdef __cplusplus } #endif 阅读全文

摘要： 今天我使用的代码钩取的技术手段钩取了loadLibaryA,但是却报错了，查看汇编代码，发现在调用loadLibaryA后还会调用一个检查堆栈平衡的函数，这个是编译器在debug版本自动加的。 详细说明请看： 本次案例代码为钩取函数的代码,编译环境为:vs2010,字符集为unicode,运行环境w 阅读全文

摘要： dll 中的代码是共享物理内存的, 数据是写时复制, 没有修改数据之前是共享的, 修改的时候会拷贝一份来修改, 之后就不会共享物理内存了.可以通过设置共享段来共享数据, 共享段里的数据在各个进程间共享物理内存(即使句柄不同也无所谓, 虚拟内存机制可以把不同的进程虚拟地址映射到相同的物理地址上) 详细 阅读全文