pangshangji

摘要： oracle数据库中 查询时间小于某个属性 select * from T where T."enddt" < to_date('2021-05-11 14:20:24' , 'yyyy-mm-dd hh24:mi:ss') 查询小于现在时间的记录 select * from T where T." 阅读全文

摘要： 在windbg中查看进程、线程、CPU 此处先讨论用户态调试 .process 可以查看当前 当前进程PEB的地址 0:000> .processImplicit process is now 010070000:000> dt _PEB 01007000ntdll!_PEB +0x000 Inhe 阅读全文

摘要： 进入内核NtCreateFile中，如果需要查看是由用户态进入的还是从内核态进入的，可以使用如下命令 .thread 查看当前线程 kd> .threadImplicit thread is now 87272880 dt _KTHREAD 87272880 -y Previous 在_KTHREA 阅读全文

摘要： C++三大特性：封装、继承、多态 在这里谈下多态，多态指的是在类之间存在继承关系时，有的函数声明为virtual函数，当我们将子类指针或引用转化为父类指针或引用时，调用某个虚函数时调用的是子类的虚函数。 编译器对于这种虚函数是在对象中存放了一个指针，这个指针指向一个表格，表格称之为虚函数表，在x86 阅读全文

摘要： 在自己开发的驱动中进行进程遍历 在windows每个进程都有一个EPROCESS结构体，除了Idle空闲进程和system进程之外，其余的进程都在磁盘上有自己的可执行文件，而Idle进程和system进程的EPROCESS是由系统伪造的，结构体中对应的ImageFileName也不实际存在于磁盘上。 阅读全文

摘要： 在windbg中 使用命令 !handle 0 5 //参数0代表列出所有句柄，参数5代表显示对象名称和类型。 !handle 0 6 Mutant //只显示互斥类型的对象 阅读全文

摘要： 在Windows中使用SEH异常 Windows SEH异常处理，可以用结构体 typedef struct _EXCEPTION_REGISTRATION_RECORD { struct _EXCEPTION_REGISTRATION_RECORD *Next; 下一个异常处理结构体的地址 PEX 阅读全文

摘要： 在学习Windows内核编程的时候，参考了《Windows内核开发》书籍 首先我们先固定的过滤一个串口，来简化代码，先易后难，后续再扩充代码，过滤所有串口。 基础知识：在注册表中添加串口项 在windows 7 x86中 在注册表HKEY_LOCAL_MACHINE\HARDWARE\DEVICEM 阅读全文

摘要： 关于调试时一些记录 在用户态时如果触发int 3断点，如果此时有内核调试器，那么内核调试器捕获到，这是调试器对于int 3的优待。 如果是release程序，如果触发栈溢出异常，用户态也可以触发，那是因为在未处理异常UnhandledExceptionFilter中 会判断如果是栈溢出异常且有内核调 阅读全文

摘要： 一道简单的CTF的解题步骤 程序没有二次加工，没有反调试机制，反编译看起来挺直白的，如下：主要是输入flag后，经过两次计算，第一次是使用base编码表对输入的flag变换，第二次是对经过修改的flag计算base64，跟程序内部已有的编码结果进行比较。 程序先从接收输入的flag，判断字符串长度为 阅读全文