乘舟凉

摘要： 全局消息钩子的钩子函数一定要再dll中，然后启动安装钩子不能在dll中，要是我想在程序开始时安装钩子怎么办。很简单利用两个钩子就行了，只要安装钩子和钩子函数不在同一个dll就行了。 下面请看案例（编译 编译环境: vs2010 多字节 已在window7 32位测试通过 ） //mouseHook. 阅读全文

摘要： 如何加载dll网上有很多资料，我就不赘述了，我分享一下我在练习过程碰到的问题 1.IAT指向的地方不能为空 可能大家觉得IAT的地址是运行时系统赋予的，就指向了一个0字节的位置，但是PE装载器会认为你的IAT已经结束了，会造成这个dll加载失败 其实谁便写点什么都行 2.加载的dll一定要至少有一个 阅读全文

摘要： PE结钩我就不多说了，网上有资料，这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。 本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序 下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4 阅读全文

摘要： PE结钩我就不多说了，网上有资料，这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。 本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序 下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4 阅读全文

摘要： 1.内存节区一定比文件节区大 2.到底复制多少数据取决于文件节区的大小，内存节区的多余部分全部为0 阅读全文

摘要： 一、鼠标钩子的安装 SetWindowsHookEx(WH_MOUSE,MouseProc,g_hInstance,0); WH_MOUSE 表明安装的是鼠标钩子 MouseProc 钩子函数的地址 g_hInstance 钩子函数所在dll的地址 0 为0表示是全局钩子 二、钩子函数解析 LRES 阅读全文

摘要： 因为我喜欢把功能封装成函数集中放在头文件中，要导入两个我自己编写的头文件 链接: http://pan-yz.chaoxing.com/share/info/e9683ebe7126a18f 首先是注入程序 他可以将dll注入至pid>100的进程中 也可以卸载dll 隐藏进程3.c #includ 阅读全文

摘要： 今天碰到了三个问题 第一：vs 2010 的变量要在函数的开头声明 第二： 一点要注意函数的调用方式，已经是第二次错误了 第三：VirtualProtect的权限最好用最好权限PAGE_EXECUTE_READWRITE,不然有可能会出错。 通过这个代码钩取我学到遇到问题一定要冷静 ，不要太过贪心急 阅读全文

摘要： NTSTATUS WINAPI ZwQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, //枚举类型，用户输入值选择要查询的信息 _Inout_ PVOID SystemInformation, 阅读全文

摘要： #include <stdio.h> #define STATUS_SUCCESS ((NTSTATUS)0x00000000L) #define STATUS_UNSUCCESSFUL ((NTSTATUS)0xC0000001L) #define STATUS_INFO_LENGTH_MISMA 阅读全文