123456

 

2014年4月18日

calc常用

摘要: Mod:求模(整数相除求余数),And:按位与Or:按位或Xor:按位异或Lsh:按位左移Not:按位取反Int:取整数部分 阅读全文

posted @ 2014-04-18 11:41 hgy413 阅读(180) 评论(0) 推荐(0)

2014年4月8日

windbg学习---.browse打开一个新的command 窗口

摘要: .browse r eax.browse 将会显示新的命令浏览窗口和运行给出的命令 阅读全文

posted @ 2014-04-08 13:30 hgy413 阅读(195) 评论(0) 推荐(0)

2014年3月8日

Native wifi API使用

摘要: 写于博客园,自己迁过来:一.WlanOpenHandle打开一个客户端句柄DWORD WINAPIWlanOpenHandle( __in DWORD dwClientVersion, __reserved PVOID pReserved, __out PDWORD pdwNegotiatedVersion, __out PHANDLE phClientHandle);其取值如下:1:WindowsXP SP22:WindowsVista and Windows Server2008pReserved:保留值,设为NULLpdwNegotiatedVersion:Spe... 阅读全文

posted @ 2014-03-08 16:20 hgy413 阅读(1145) 评论(0) 推荐(0)

驱动学习---PAE--virtual address to physics address

摘要: PAE是Physical Address Extension的缩写,即物理地址扩展。简单来说,就是把IA-32处理器的寻址能力从原来的4GB扩展到64GB。寻址4GB空间,要求物理地址的宽度为32位。类似的,要寻址64GB空间,那么物理地址的宽度就是36位。因为这个原因,PAE又被称为PAE-36bit。一般电脑都可以轻松看出是不是使用了PAE,最简单是看系统属性:如果不启用PAE机制,每个进程的DirBase 的低12位应该是0,启用PAE机制低5位是0。在lkd模式下,!pte显示是不正确的以下是PAE启用的显示:以下为示例:代码:char *g_test = "12345678 阅读全文

posted @ 2014-03-08 16:02 hgy413 阅读(483) 评论(0) 推荐(0)

2014年3月5日

windbg学习.formats--转换成各种进制

摘要: .formats 命令在当前线程和进程上下文下对一个表达式或符号进行求值,并以多种数字格式显示出来。0:002> .formats 000ad3a0Evaluate expression: Hex: 000ad3a0 Decimal: 709536 Octal: 00002551640 Binary: 00000000 00001010 11010011 10100000 Chars: .... Time: Fri Jan 09 13:05:36 1970 Float: low 9.94272e-040 high 0 Double: 3.50557... 阅读全文

posted @ 2014-03-05 23:45 hgy413 阅读(203) 评论(0) 推荐(0)

2014年3月2日

windbg学习---!thread和.thread

摘要: !thread扩展显示目标系统中线程包括ETHREAD块在内的摘要信息。该命令只能在内核模式调试下使用!thread [-p] [-t] [Address [Flags]] -p 显示拥有该线程的进程的摘要信息。 -t 包含这个选项时,Address是线程ID,而不是线程地址。 Address 指定目标机上线程的16进制地址。如果Address为-1或省略,则表示当前线程。 Flags 指定显示的详细级别。Flags可以是下面这些位的任意组合。如果Flags为0,只会显示最少量的信息。默认为0x6:Bit 1 (0x2) 显示线程的等待状态。 Bit 2 (0x4) 如果不和Bit 1(0x2 阅读全文

posted @ 2014-03-02 23:14 hgy413 阅读(1700) 评论(0) 推荐(0)

windbg学习----.process

摘要: .process 命令指定要用作进程上下文的进程(Set Process Context).process显示当前进程的EPROCESS,这里显示当前进程为test.exekd> .processImplicit process is now 821f5da0kd> ? @$procEvaluate expression: -2111873632 = 821f5da0kd> !process 821f5da0 0PROCESS 821f5da0 SessionId: 0 Cid: 06e8 Peb: 7ffde000 ParentCid: 0620 DirBase: 02b4 阅读全文

posted @ 2014-03-02 22:55 hgy413 阅读(940) 评论(0) 推荐(0)

windbg学习---!process

摘要: !process 0 0 显示进程列表:kd> !process 0 0**** NT ACTIVE PROCESS DUMP ****PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e00 HandleCount: 254. Image: SystemPROCESS 8241d490 SessionId: none Cid: 0178 Peb: 7ffdf000 ParentCid: ... 阅读全文

posted @ 2014-03-02 22:34 hgy413 阅读(2496) 评论(0) 推荐(1)

windbg命令----!idt

摘要: !idt扩展显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR))-a 没有指定IDT时,会以简短的格式显示目标机上所有处理器的IDT。如果指定了-a,则显示所有IDT的ISR。 简短方式:kd> !idtDumping IDT:37: 806e6864 hal!PicSpuriousService373d: 806e7e2c hal!HalpApcInterrupt41: 806e7c88 hal!HalpDispatchInterrupt50: 806e693c hal!H 阅读全文

posted @ 2014-03-02 21:36 hgy413 阅读(968) 评论(0) 推荐(0)

2014年2月20日

16进制转换成字符串

摘要: inline int hex_to_str(const unsigned char *hex, int hexlen, char *str, int &strlen){ int outhexlen = hexlen * 2 + 1; if (strlen < outhexlen) { return -1; } strlen = outhexlen; for (int i = 0; i < hexlen; ++i) { _snprintf(str + 2*i, 3, "%02X", (unsigned char)hex[i]); } return strl 阅读全文

posted @ 2014-02-20 16:56 hgy413 阅读(473) 评论(0) 推荐(0)

下一页

导航