摘要: 代码如下. 代码属于转载. 并未使用 windows的结构体. PIMAGE_DOS_HEADER ....等解析. 适用于内核驱动. windows内核下可以使用此代码来获取文件资源版本. /* Distributed under the CC-wiki license. * user contr 阅读全文
posted @ 2023-10-16 11:33 iBinary 阅读(157) 评论(0) 推荐(0) 编辑
摘要: 以x64dbg.exe调试x64dbg.exe为例. 汇编代码为如下. ``` mov rax, qword ptr gs:[0x0000000000000060] mov rax, qword ptr ds:[rax+0x10] ``` 二进制硬编码如下 ``` "\x65\x48\x8B\x04 阅读全文
posted @ 2023-08-16 10:04 iBinary 阅读(214) 评论(0) 推荐(0) 编辑
摘要: [toc] # VsCode配置Wdk7600开发环境 以及 "自动编译" 和 sources文件简单介绍.. ## 一丶 简介 虽然`Wdk7600`已经过时,但还是有很多项目是使用`Wdk7600`编写的. 而很多老项目配置环境有很多种方式. 如配置在`visual studio 中编写`. 配 阅读全文
posted @ 2023-06-06 11:39 iBinary 阅读(193) 评论(0) 推荐(0) 编辑
摘要: JsonCpp 了解何为Json 参考资料如下. JSON JSON 教程 | 菜鸟教程 本节参考资料 jsoncpp的简易教程 - Tudou_Blog - 博客园 一丶简介 Json作为一种文件格式,可以作为配置文件使用.也可以作为网络传输使用. 而一些C/c++库. rapidjson jso 阅读全文
posted @ 2023-04-25 15:27 iBinary 阅读(827) 评论(0) 推荐(0) 编辑
摘要: 在动态调试过程中,有时候要给一个地址进行nop. (nop代表无意义指令,可以被cpu执行.执行之后不会影响寄存器,堆栈,以及寄存器) nop的机器码是0x90 而在后面的调试器中,针对nop指令又作了 "升级" 以前想要 nop五个字节.那就要写五个字节. 现在有种新的方式(通过逆向的来.发现的多 阅读全文
posted @ 2023-04-12 10:52 iBinary 阅读(250) 评论(0) 推荐(0) 编辑
摘要: windows内核下的回调钩子整理 一丶钩子 1.1 重新初始化钩子 void IoRegisterDriverReinitialization( [in] PDRIVER_OBJECT DriverObject, [in] PDRIVER_REINITIALIZE DriverReinitiali 阅读全文
posted @ 2022-11-23 14:05 iBinary 阅读(992) 评论(0) 推荐(1) 编辑
摘要: 64位内开发第二十三讲,分层过滤驱动-键盘过滤 来自: iBinary - 博客园 禁止爬虫.如果遇到此文章不是 出自 博客园 或者 腾讯云+社区. 请举报目标网站. 或者跳转至 本人博客园进行查看. 因为文章随时更改.可能今天只是写了一部分.或者有错误. 而明天就进行更改重发了. 但是爬虫爬取的文 阅读全文
posted @ 2022-08-21 13:25 iBinary 阅读(540) 评论(0) 推荐(0) 编辑
摘要: 64位内开发第二十二讲,分层过滤驱动编程详解 来自: iBinary - 博客园 禁止爬虫.如果遇到此文章不是 出自 博客园 或者 腾讯云+社区. 请举报目标网站. 或者跳转至 本人博客园进行查看. 因为文章随时更改.可能今天只是写了一部分.或者有错误. 而明天就进行更改重发了. 但是爬虫爬取的文章 阅读全文
posted @ 2022-08-19 18:54 iBinary 阅读(425) 评论(0) 推荐(0) 编辑
摘要: 驱动程序调用驱动程序 一丶驱动调用驱动介绍. 1.1 驱动调用驱动介绍 驱动调用驱动.其实就是两个内核内核驱动之间的通信. 比如应用程序和驱动程序通信就算为一种通信. 应用程序可以 发送 IRP_MJ_READ 请求(ReadFile) 发送给 DrvierA程序. 然后DriverA进行相应的 I 阅读全文
posted @ 2022-08-03 15:39 iBinary 阅读(585) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2022-07-29 18:01 iBinary 阅读(0) 评论(0) 推荐(0) 编辑
摘要: [TOC] 未经博主允许禁止转载盗取以及爬虫,出处 博客园:ibinary 请远离垃圾网站: 原文出处 [https://www.cnblogs.com/iBinary/](https://www.cnblogs.com/iBinary/) 请读者看到之后去原文观看. # X64Dbg 介绍->表达 阅读全文
posted @ 2022-06-09 14:21 iBinary 阅读(3197) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2022-06-01 15:43 iBinary 阅读(0) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2022-05-19 17:47 iBinary 阅读(7) 评论(0) 推荐(0) 编辑
摘要: [TOC] # windows内核提权,又一突破游戏保护的方式。 ## 一丶 句柄表 ### 1.1 介绍 当一个进程被`保护`的时候 比如无法获取其`进程句柄权限` (`OpenProcess`) 或者无法获取内存读写访问权限的时候,则可以使用此方法来进行提权。 前置知识,`了解windows系统 阅读全文
posted @ 2022-05-18 15:01 iBinary 阅读(557) 评论(0) 推荐(0) 编辑
摘要: [TOC] # 全局句柄表详解 ## 一丶句柄表 ### 1.1 句柄表介绍 句柄表老生常谈的话题,里面存储了 `进程`和`线程`的对象信息。 通过句柄表也可以遍历出隐藏的进程。也就是说全局句柄表里面存储的并不是`句柄` 而是进程`EPROCESS `和线程 `ETHREAD` ### 1.2 定位 阅读全文
posted @ 2022-05-17 15:45 iBinary 阅读(193) 评论(0) 推荐(0) 编辑
摘要: C++ 进制转换代码记录 一丶进制转换 1.1 介绍 再平常写代码的时候经常会用到进制转换。 比如16进制转为10进制。 16进制值转为Ascii等。所以这里启用一个整理。方便下次炒代码。 代码来源于网上以及朋友提供的。 二丶 十六进制字符串转换为Ascii 2.1 方法1 Char类型操作 //* 阅读全文
posted @ 2022-05-12 13:53 iBinary 阅读(2207) 评论(0) 推荐(0) 编辑
摘要: 高级远程线程注入NtCreateThreadEx 一丶简介 在Windows下NtCreateThreadEx是CreateRemoteThread的底层函数。RtlCreateUserThread 也是对 NtCreateThreadEx的一层包装 所以着重一下研究NtCreateThreadEx 阅读全文
posted @ 2022-03-19 13:40 iBinary 阅读(2324) 评论(3) 推荐(1) 编辑
该文被密码保护。 阅读全文
posted @ 2022-03-06 18:09 iBinary 阅读(4) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2022-01-28 14:33 iBinary 阅读(9) 评论(0) 推荐(0) 编辑
摘要: IRP 派遣函数 与通信方式 一丶IRP 1.1 IRP介绍 理论知识 在Windows内核中,有一种数据结构叫做 IRP(I/O Request Package) 也就是输入输出请求包。它是与输入输出相关的重要数据结构 只要了解了IRP 那么驱动开发以及内核你就会了解一大半了。 当上层 应用程序 阅读全文
posted @ 2022-01-24 11:50 iBinary 阅读(1630) 评论(0) 推荐(1) 编辑