摘要： 前言：看到sprintf，swprintf之类的可变参数格式化函数，是否想过我们能写一个自定义的类似的函数吗？答案是很定的，下面来介绍一种方法，用va_list，va_start, va_end来实现。 va_list是一个宏，使用的时候先定义一个变量，然后用va_start来初始化，使用完后用va 阅读全文

摘要： 今天学会了一种在内核下枚举进程的方法，写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下： 从上述结构中可以看出ActiveProces 阅读全文

摘要： 这里简单的介绍一下内核开发双机联调的搭建环境，尽管网上有很多类似的文章，但看了很多总是不太舒服，觉得不太明白，所以自己实践一下总结一篇。下面就拿我的环境简单介绍，希望别人可以看懂。准备工具：装虚拟机VMware，安装被调试机OS（笔者的是win7 x86）笔者的真机OS版本为 win8.1 x64（ 阅读全文

摘要： BOOL WINAPI EnumProcesses ( _Out_writes_bytes_(cb) DWORD * lpidProcess, _In_ DWORD cb, _Out_ LPDWORD lpcbNeeded... 阅读全文

摘要： 函数原型: NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG Syst 阅读全文

摘要： 函数原型: The GetShortPathName function retrieves the short path form of a specified input path. DWORD GetShortPathName( LPCTSTR lpszLongPath, // null-ter 阅读全文

摘要： 转自：http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦 阅读全文

摘要： //说明：把Reserved3转化为DWORD后一定会得到devenv.exe 进程的ID，dwParentID也可以说明问题 //说明：这是peb字段，我们看到BeingDebugged字段已经被置为1，说明正在被调试， SessionId：字段也显示出了该进程的会话ID其它字段可以在深入的研究， 阅读全文

摘要： 导语：结束一个进程的方法通常有：exit(), ExitProcess, TerminateProcess. 通常一个进程在正常情况下结束的话，系统会调用 ExitProcess函数结束进程，但有时候想强行杀掉一个进程的话就必须调用TerminateProcess函数了，TerminateProce 阅读全文

摘要： 函数原型： 阅读全文

摘要： 函数原型： BOOL WTSEnumerateSessions( HANDLE hServer, DWORD Reserved, DWORD Version, ... 阅读全文

摘要： 函数原型：BOOLWINAPIWTSQuerySessionInformationW( IN HANDLE hServer, IN DWORD SessionId, IN WTS_INFO_CLASS WTSInfoClass, __deref_out_bcount(*pBytesReturned) 阅读全文

摘要： 函数原型：DWORD WTSGetActiveConsoleSessionId (VOID)先看一下原文介绍： The WTSGetActiveConsoleSessionId function retrieves the Terminal Services session currently at 阅读全文

摘要： 相关函数：//获取当前活动窗口HWND GetForegroundWindow(VOID);//获取窗口名int GetWindowText( HWND hWnd, // handle to window or control LPTSTR lpString, // text buffer int 阅读全文

摘要： 函数原型：BOOL DeleteVolumeMountPoint( LPCTSTR lpszVolumeMountPoint // volume mount point path );参数：lpszVolumeMountPoint ：挂载点路径，必须以反斜杠'\'结尾。 Remarks It is 阅读全文

摘要： 函数原型：BOOL SetVolumeMountPoint( IN LPCTSTR lpszVolumeMountPoint, // mount point IN LPCTSTR lpszVolumeName // volume to be mounted );参数：lpszVolumeMountP 阅读全文

摘要： 函数原型：BOOL GetVolumeNameForVolumeMountPoint( IN LPCTSTR lpszVolumeMountPoint, // volume mount point or directory OUT LPTSTR lpszVolumeName, // volume n 阅读全文

摘要： 相关函数:HANDLE FindFirstVolumeMountPoint( LPTSTR lpszRootPathName, // volume name LPTSTR lpszVolumeMountPoint, // output buffer DWORD cchBufferLength // 阅读全文

摘要： 函数定义：Retrieves the name of a volume on a computer. FindFirstVolume is used to begin scanning the volumes of a computer. 我的输出结果是这样的： 分析： 可见这些也代表着卷标的唯一标 阅读全文

摘要： 函数原型:DWORD GetLogicalDriveStrings( DWORD nBufferLength, // size of buffer LPTSTR lpBuffer // drive strings buffer );说明:参数不多讲,需要注意函数返回存入lpBuffer空间的字符个数 阅读全文

摘要： 函数原型:DWORD GetLogicalDrives(VOID);The GetLogicalDrives function retrieves a bitmask representing the currently available disk drives. 说明:该函数用法简单,没有参数, 阅读全文

摘要： 先看定义：BOOL GetVolumeInformation( [IN] LPCTSTR lpRootPathName, // root directory 卷所在的根目录,如:"C:\\", 如果为NULL,表示当前目录 [OUT] LPTSTR lpVolumeNameBuffer, // vo 阅读全文

摘要： 说明：LPTSTR GetCommandLine(VOID);LPWSTR * CommandLineToArgvW( LPCWSTR lpCmdLine, // pointer to a command-line string int *pNumArgs // receives the argum 阅读全文

摘要： 函数定义：BOOL DeleteAndRenameFile( LPCWSTR lpszDestFile, LPCWSTR lpszSourFile );说明：函数把sourceFile的内容复制到DestFile中，然后再删除sourceFile。调用前必须保证sourceFile和DestFile 阅读全文

摘要： MoveFileEx 删除文件 注册表 阅读全文

摘要： MoveFile可以移动文件，更名文件，移动目录(包括目录下的所有文件以及子目录)。函数定义：BOOL MoveFile( LPCTSTR lpExistingFileName, // file name LPCTSTR lpNewFileName // new file name);参数不介绍了， 阅读全文

摘要： 将字符串转化为大写的形式（Convert a string to uppercase.）定义： char *_strupr( char *string ); wchar_t *_wcsupr( wchar_t *string ); unsigned char *_mbsupr( unsigned c 阅读全文

摘要： Duplicate strings.函数定义： char *_strdup( const char *strSource ); wchar_t *_wcsdup( const wchar_t *strSource ); unsigned char *_mbsdup( const unsigned c 阅读全文

摘要： GetCurrentDirectory函数获得当前文件所在的目录，并不是进程的目录（debug 和 release），它和GetCommandLine不同这里只讲 GetCurrentDirectory，GetCurrentDirectory是一个宏#ifdef UNICODE#define Get 阅读全文

摘要： 函数原型：BOOL SearchTreeForFile( PSTR RootPath, //系统查找的起始路径， PSTR InputPathName, //要查找的文件名，可以使用通配符,例如 *.doc PSTR OutputPathBuffer ); //输出参数，查找到以后文件的绝对路径放在 阅读全文

摘要： Windows下遍历文件时用到的就是FindFirstFile 和FindNextFile 首先看一下定义： 阅读全文

摘要： 网络编程里经常需要获得主机的相关信息，下面围绕相关的函数以及用到的结构来说明。 The gethostbyname function retrieves host information corresponding to a host name from a host database. Note 阅读全文

摘要： 函数原型： Convert strings to double (atof), integer (atoi, _atoi64), or long (atol). 阅读全文

摘要： 这个函数可用来枚举系统进程，先来看定义： 阅读全文

摘要： 获取计算机名： 阅读全文

摘要： BOOL SHGetSpecialFolderPath( HWND hwndOwner, LPTSTR lpszPath, int nFolder, BOOL fCreate ); 参数解释： hwndOwner：Handle to the owner window the client shoul 阅读全文

摘要： 练习API CreateSemaphoreCreateEvent ReleaseSemapWaitForSingleObject CloseHandleInitializeCriticalSectionEnterCriticalSectionLeaveCriticalSectionDeleteCri 阅读全文

摘要： #include "stdafx.h"#include <Windows.h>DWORD WINAPI Thread_1(LPVOID param);DWORD WINAPI Thread_2(LPVOID param);DWORD WINAPI Thread_3(LPVOID param);HAN 阅读全文

摘要： Takes a snapshot of the processes and the heaps, modules, and threads used by the processes.对当前系统进行一个快照。函数定义：HANDLE WINAPI CreateToolhelp32Snapshot( D 阅读全文

摘要： 最近几天在学习sqlite3，颇有点收获，下面介绍一下简单用法：1.先下载sqlite3.h和sqlite3.c(如果不知道怎么下载的话就去www.sqlite.org)如果要编译成lib。则需要用到sqlite3.def 文件。具体要把sqlite3.def放到我们vs安装目录的的bin目录下。利 阅读全文

摘要： 1： 在Sql Server 中增加一列语句： alter table table_name add column_name [not null] [references ....] 例如在表Major中增加名为AcademicId的一列，设置为不为空，并且设置为外键引用表AcademicId： a 阅读全文