狂客

摘要： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Help] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Help\v2.1]"AppRoot"="C:\\Prog 阅读全文

摘要： 钢环 护甲 手雷 = 0438-01-B0 钢环 护甲 0438-01-C0 钢环 护甲 抢 子弹 = 0438-01-DA 钢环 护甲 刀 = 0438-01-E0 043A-01-FF 人命 0x95 阅读全文

摘要： 部分代码 #include "my_sys_fun.h"#ifdef __cplusplusextern "C"{#endif //驱动加载函数 NTSTATUS DriverEntry(PDRIVER_OBJECT pPDriverObj, PUNICODE_STRING pPuniStr); / 阅读全文

摘要： 遍历注册表回调函数(仿PCHunter CmpBack) typedef struct _CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECT deviceObject; BOOLEAN bReady; LARGE_INTEGER registryCallbackCoo 阅读全文

摘要： 内核中有个PLIST_ENTRY CmpHiveListHead;CmpHiveListHead = &CMHIVE.HiveList; CMHIVE结构如下：kd> dt _CMHIVEnt!_CMHIVE +0x000 Hive : _HHIVE +0x210 FileHandles : [3] 阅读全文

摘要： 驱动都存在 \\Driver 或者 \\FileSystem 目录对象里 我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver \\FileSystem (dt _OBJECT_DIRECOTRY)都属于 ObpDirectoryObjectType(window内核全 阅读全文

摘要： PspCidTable表里。索引值总之4的倍数。也就是说 PID/4 才是PspCidTable索引。*8 才是PsPCidTable+偏移。获取进程对应的 _HANDLE_TABLE_ENTRY 结构 查找 Object_Header 地址 = Object对象地址-0x18 TypeIndex 阅读全文

摘要： 说在开始的话： 我上大学那会，虽说主要是学Java语言，但是web前端也稍微学了一些，那时候对前端也没多在意，因为涉入的不深，可以搞一个差不多可以看的界面就可以了，其他也没过多在意。 因为稍微了解一点点前端，所以看到前端相关资源的时候，总是也会忍不住也收藏下来，这篇文章就把我平时看到的一些关于WEB 阅读全文

摘要： 通过PID获取进程路径的几种方法 想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用，向后兼容性比较好。第二种方法是GetProcessImageFileName函数， 阅读全文

摘要： 在暴力搜索内存进程对象反隐藏进程这篇文章中，我们提到： Object Header偏移0×008处Type成员为对象类型值,相同类型的对象具有相同的值. 自Window 7开始, _OBJECT_HEADER及其之前的一些结构发生了变化. lkd> dt _object_header nt!_OBJ 阅读全文