摘要: 注:不要HOOK 函数里可能会被跳转的地址, 不要HOOK 字节中包含函数调用的地址 如 HOOK的地址里有 CALL EDX 等 x86 JMP计算公式 目标地址-当前地址-5 = 机器码E9后面所跟的32位数 JE计算公式 目标地址-当前地址-6 = 机器码0F 84后面所跟的32位数 JNE计 阅读全文
posted @ 2016-05-11 10:17 狂客 阅读(2149) 评论(0) 推荐(0)
摘要: 经过测试 9dea862c-5cdd-4e70-acc1-f32b644d4795 这个项每个系统都是固定的。这个项里面的 Elements 里面项也是固定的。在 24000001 项里的 Element 值可以看出来 他的注册表项值是{2d082d49-2775-11e4-9bca-cd1b321 阅读全文
posted @ 2016-05-07 14:43 狂客 阅读(952) 评论(0) 推荐(0)
摘要: 查看堆栈 从返回前面的竖线 到 竖线结束 也就是到 (从返回 msconfig.0065a318) 全看。这样不会丢失些东西 或者 看堆栈 直接将堆栈框拉大 避免有些东西没有看到 阅读全文
posted @ 2016-05-07 14:34 狂客 阅读(369) 评论(0) 推荐(0)
摘要: 1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain] view plain? 输出结果中我可以看到几个重要的字段: 阅读全文
posted @ 2016-05-07 13:54 狂客 阅读(3035) 评论(0) 推荐(0)
摘要: Windbg的设置 Windbg的设置 Windbg本身可以直接从微软的网站上下载下载地址:http://www.microsoft.com/whdc/devtools/debugging/default.mspxWindbg的设置其实主要是关于调试符号的设置,没有符号你会很不爽,会忽视掉许多细节, 阅读全文
posted @ 2016-05-07 13:53 狂客 阅读(726) 评论(0) 推荐(0)
摘要: 预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师 QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com 1.3.5VM+windb 阅读全文
posted @ 2016-05-07 13:51 狂客 阅读(351) 评论(0) 推荐(0)
摘要: WinDbg WinDbg支持以下三种类型的命令: · 常规命令,用来调试进程 · 点命令,用来控制调试器 · 扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令 PDB文件 PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全 阅读全文
posted @ 2016-05-07 13:51 狂客 阅读(7876) 评论(0) 推荐(0)
摘要: _EPROCESS结构简单了解! lkd> dt _EPROCESSnt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 Exi 阅读全文
posted @ 2016-05-07 13:47 狂客 阅读(2826) 评论(0) 推荐(0)
摘要: 摘要:今天给大家分享一些使用“Chrome开发者工具”的小技巧。包括调试,优化页面渲染速度等。希望能提升Web开发人员的工作效率。 今天给大家分享一些使用“Chrome开发者工具”的小技巧。包括调试,优化页面渲染速度等。希望能提升Web开发人员的工作效率。 1,打开Shadow DOM显示 浏览器对 阅读全文
posted @ 2016-05-05 09:33 狂客 阅读(4993) 评论(0) 推荐(0)
摘要: OD 内存映射 属主找不到当前程序名解决办法 取消 StrongOD 选项里 高级枚举模块选项就OK了 重启OD 跟随ClassProc 反汇编窗口空白解决办法 StrongOD.dll 是有问题的。网上百度鱼C工作室 用他的StrongOD.dll可以解决这个问题 复制下面的错误图片连接 其实就是 阅读全文
posted @ 2016-04-29 11:24 狂客 阅读(1040) 评论(0) 推荐(0)