李sir - 博客园

SHAppBarMessage

摘要： Sends an appbar message to the system.SyntaxCopyParametersdwMessage [in] Type: DWORDAppbar message value to send. This parameter can be one of the following values.ABM_NEW (0x00000000)0x00000000. Regi... 阅读全文

posted @ 2010-12-01 15:23 李sir 阅读(2215) 评论(0) 推荐(0)

模拟用户登录

摘要：我不知道这能不能算一个好点子，但我觉得这真的不错：模拟一个权力更大的用户进行某些无法完成的操作。举个例子来说：你在Administrator用户下，打开文件1.exe的安全设置页面，添加并设置Guest用户的权限为file control拒否，如下图所示：这样，按照正常的办法，Guest用户将访问不到1.exe文件了。但是一点其他的办法都没有吗？也不是的，我告诉你一个：模拟高权用户！这是一个很别扭... 阅读全文

posted @ 2010-12-01 11:22 李sir 阅读(2274) 评论(0) 推荐(0)

判断进程是64bit还是32bit

摘要： #pragmaregion Includes#include<stdio.h>#include <windows.h>#pragmaendregionBOOL DoesWin32MethodExist(PCWSTR pszModuleName, PCSTR pszMethodName){HMODULE hModule = GetModuleHandle(pszModuleN... 阅读全文

posted @ 2010-12-01 11:13 李sir 阅读(667) 评论(0) 推荐(0)

生成GUID

摘要：在公元3400年以前产生的UUID/GUID与任何其他产生过的UUIDs/GUIDs都不相同。GUID不重复的特性倒是可以用了做随机字符比如把窗口类名和标题名都用GUID,那FindWindow就无效了.使用CoCreateGuid函数,你需要#include <ObjBase.h>#pragma comment(lib,"ole32.lib")//Get the GUID,//cd... 阅读全文

posted @ 2010-12-01 10:05 李sir 阅读(462) 评论(0) 推荐(0)

记录系统开机启动登录注销等信息

摘要：最近写东西的时候,需要加上监控主机开机启动登录注销等信息,解决的方法很多,比如Hook nt!NtExitWindowEx,拦截WM_ENDSESSION消息(部分)其实,windows在NT4以上的平台已经引入了这种Notify机制,要监控主机开机启动登录注销等信息,只需向系统注册即可,我的解决方法分2个部分.DemonApp.exe负责向windows注册.,实际上就是写注册表DemonDll... 阅读全文

posted @ 2010-12-01 10:03 李sir 阅读(1086) 评论(0) 推荐(0)

远程线程注射dll

摘要： //注射void CInjectDlg::OnButtonInject(){ int nPid=0; WCHAR szDllPath[MAX_PATH]={0}; int nDllNameSize=0; //获取选择的进程PID nPid=m_CtrCboProcess.GetUserChoosePid(); if (nPid<8) { ... 阅读全文

posted @ 2010-12-01 09:56 李sir 阅读(1152) 评论(0) 推荐(0)

ring3下Hook NtQueryDirectoryFile隐藏文件

摘要： NTSTATUS WINAPI Hook_NtQueryDirectoryFile(IN HANDLE FileHandle,IN HANDLE Event OPTIONAL,IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,IN PVOID ApcContext OPTIONAL,OUT PIO_STATUS_BLOCK IoStatusBlock,OUT PVOID FileInformation,IN ULONG FileInformationLength,IN FILE_INFORMATION_CLASS FileInformationClass,IN BO 阅读全文

posted @ 2010-12-01 09:52 李sir 阅读(4008) 评论(2) 推荐(0)

取硬盘物理序列号

摘要： voidChangeByteOrder(LPSTRlpString,intnLen){CHARc;//636372756E2E636F6Dfor(inti=0;i<nLen;i+=2){c=lpString[i];lpString[i]=lpString[i+1];lpString[i+1]=c;}}//获取硬盘序列号VOIDGetDiskNum(HWNDhWnd){CHARszDiskNu... 阅读全文

posted @ 2010-12-01 09:49 李sir 阅读(904) 评论(0) 推荐(0)

[转]ring3下干净的强行删除文件

摘要：在某公司实习完，再次回到寝室。还是在学校好。实习期间的给我的任务就是为项目添加一个强行删除的模块。背景是硬盘上存储空间不够时，需要删掉老的文件，如果这时后，老的文件被打开了，没有关掉，就无法删除。所以叫我写一个这样的功能。所谓干净，指的是释放掉这个被占用的句柄。强行删除的方法很多，用驱动直接发磁盘IRP。等等查阅相关资料后。整理思路如下，如果有同学以后要写这样的功能，可以参考，1.ZwQueryS... 阅读全文

posted @ 2010-12-01 09:29 李sir 阅读(2279) 评论(0) 推荐(0)

NtQuerySystemInformation ——做个标记限于了解

摘要：輔助材料……原文地址：http://hi.baidu.com/ring3world/blog/item/3f0fb1dbf1fa0a65d0164eab.htmlNative API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机... 阅读全文

posted @ 2010-12-01 09:21 李sir 阅读(872) 评论(0) 推荐(0)

李sir_Blog

公告