随笔分类 - 学问
学习中遇到的问题
摘要:实现原理: 由于遍历进程通常是通过调用WIN32 API函数 EnumProcesses 或是CreateToolhelp32Snapshot 等来实现的。 通过跟踪逆向这些WIN32 API函数可知,它们内部最终是通过调用ZwQuerySystemInformation函数来检索系 统进程信息的,
阅读全文
摘要://m_Path为文件路径 //检测是否为exe LPTSTR pszExtension = PathFindExtension(m_Path); if (lstrcmp(pszExtension, L".exe") != 0) { MessageBox(_T("请先拖拽有效的exe文件")); r
阅读全文
摘要://判断当前系统是否是32位 是32位返回TRUE 不是返回FALSE BOOL CHideDlg::IsSystem32() { SYSTEM_INFO si = { 0 }; GetNativeSystemInfo(&si); if (si.wProcessorArchitecture == P
阅读全文
摘要:第一步:拷贝C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\IDE\Remote Debugger 文件夹下x86或者x64(根据虚拟机中系统位数确定)到虚拟机中 在虚拟机中启动刚拷贝过来的文件中的msvsm
阅读全文
摘要:提权原理: COM提升名称(COM Elevation Moniker)技术允许运行在用户账户控制下的应用程序用提升权限的方法来激活COM类,以提升COM接口权限。同时,ICMLuaUtil接口提供了ShellExec方法来执行命令,创建指定进程。因此,我们可以利用COM提升名称来对ICMLuaUt
阅读全文
摘要://获取当前程序所在路径 char pszFileName[MAX_PATH] = { 0 }; GetModuleFileName(NULL, pszFileName, MAX_PATH); //获取当前程序所在目录 (strrchr(pszFileName, '\\'))[0] = 0; //拼
阅读全文
摘要:00EA841C |. /75 6A JNZ SHORT taskmgr.00EA8488 00EA841E |. |8D4D F4 LEA ECX,[LOCAL.3] 00EA8421 |. |51 PUSH ECX ; /pResult 00EA8422 |. |68 F4010000 PUSH
阅读全文
摘要:步骤: 加载函数所在的模块,获取要Hook的函数地址 根据要hook函数的原型创建自己的函数 计算偏移 = 自己创建的函数的地址 - 要Hook的函数地址 - 5,第一个字节为0xE9,构成无条件跳转指令 修改目标页属性,是其可读可写可执行 将前面构造的无条件跳转写入Hook函数地址处,大小为5字节
阅读全文
摘要:使用场景: 病毒木马想要实现一些关键的系统操作时。 比如:通过调用ExitWindows函数实现关机或重启操作的时候就需要SE_SHUTDOWN_NAME权限 否则,会忽视操作不执行 实现原理: 获取进程的访问令牌,然后将访问令牌的权限修改为指定权限。但是系统内部并不直接识别权限名称,而是识别LUI
阅读全文
摘要:1.加入 IDC_STATIC1 静态文本控件。 2.为文本控件添加 STATIC 型变量 3.在OnInitDialog函数中添加以下代码 //设置该静态控件为显示位图的 m_bitmap.ModifyStyle(0, SS_BITMAP | SS_CENTERIMAGE); //获取控件窗口大小
阅读全文
摘要:void CBiaoBai1Dlg::OnSysCommand(UINT nID, LPARAM lParam) { if ((nID & 0xFFF0) == IDM_ABOUTBOX) { CAboutDlg dlgAbout; dlgAbout.DoModal(); } //加上这步判断 el
阅读全文
摘要:前因: 本来想用MFC做一个按不了的按钮(鼠标移动到按钮上方,按钮就会移走),使用WM_MOUSEMOVE消息发现 鼠标在按钮上时不会给父窗口发送WM_MOUSEMOVE消息 解决办法: 使用SetCapture()函数捕获鼠标消息 setCapture捕获以下鼠标事件:onmousedown、on
阅读全文
摘要:在需要拖拽文件功能的窗口初始化时加上下面两句即可 //管理员模式下取消过滤拖拽消息 ChangeWindowMessageFilter(WM_DROPFILES, MSGFLT_ADD); ChangeWindowMessageFilter(0x0049, MSGFLT_ADD); // 0x004
阅读全文
摘要:全局变量一般这样定义:1.在一类的.cpp中定义 int myInt;然后再在要用到的地方的.cpp里extern int myInt;这样就可以用了。 2.在stdafx.cpp中加入:int myInt;然后在stdafx.h中加入:extern int myInt这样定义的变量以后无论在什么文
阅读全文
摘要:关闭IPV6协议 原因:如果支持IPV6协议,vs会自动使用IPV6下载扩展。因为IPV6还没有建立完善,所以可能会比较慢。 步骤: 1.右键 任务栏上微软小图标 ,然后选择设置 2.选择网络和Internet 3.选择以太网,再选择更改适配器选项 4.选择现在使用的网络右键选择属性 5.关闭IPV
阅读全文
摘要:防多开常用思路 参考:http://www.cppblog.com/elva/archive/2008/02/19/42923.html windows系统下,程序防止多开的几种常见方法: 1)使用FindWindow API函数。 通过查找窗口标题(或/和类名)来判断程序是否正在运行。如果找到了,
阅读全文
摘要:1. 站内搜索 说明 期望搜索的结果来自于某个固定站点,例如CSDN / Stackoverflow 用法 在搜索关键词后加上 site:{站点}对关键词进行{站点}内的搜索 范例 深度学习 site:csdn.net 2. 排除搜索 说明 期望搜索的结果不包含某些关键字 用法 在搜索关键词后加上
阅读全文
摘要:导致原因: 大概是前几天停电导致的系统突然崩溃,虚拟机就来不急把已经锁定的文件解锁 解决办法: 进入安装虚拟机位置后 在搜索栏搜索 *.lck ,把搜索到以 .lck结尾的文件全部删除,是文件不是文件夹
阅读全文
摘要:neg指令: 汇编指令中的求补指令,NEG指令对操作数执行求补运算:用零减去操作数,然后结果返回操作数。求补运算也可以表达成:将操作数按位取反后加1。 检验目标操作数的值是否为0,并将结果存放在CF标志位中。 目标操作数为0,CF位置为0;目标操作数非0,CF位置1。 sbb指令: 用目标操作数减去
阅读全文
摘要:只是记录下我学习中遇到的问题 被调试的程序是不能离开工程目录的,且工程目录的路径不能包含中文字符!
阅读全文
浙公网安备 33010602011771号