Russinovich`s Blog

2011年5月19日

SlickEdit 2011 v16 发布了

摘要： Slickedit 2011 v16 终于发布了。从2010版过渡到2011还是很平滑的，没有出现任何问题。 Tag Files 变成后台了，速度感觉比以前稍快一些。ＵＩ上几乎没有什么变化。这次升级的... 阅读全文

posted @ 2011-05-19 08:34 Russinovich`s Blog 阅读(3047) 评论(45) 推荐(0)

2011年5月9日

摘要：上篇文章Patch Intel int 3断点指令的功能中谈到利用int 3反调试方法，今天想更深入的谈谈关于int 3反调试的方法。在上篇文章中的方法过于简单直接就返回了，这样容易被发现和恢复。我需要的是更加不容易被发现的方法。我先把内核当中int 3的中断处理例程贴出来： public _KiTrap03_KiTrap03 proc push 0 ; push dummy error c... 阅读全文

posted @ 2011-05-09 22:11 Russinovich`s Blog 阅读(2585) 评论(2) 推荐(1)

2011年5月8日

Patch Intel int 3断点指令的功能

摘要：今天在调试一个程序时候遇到一个问题，我下了很多的软件断点就是int 3，这当中有的被Enable，有的被Disable，因为断点太多了，我不想一个个手动把Enable的断点，设置成Disable，然... 阅读全文

posted @ 2011-05-08 21:34 Russinovich`s Blog 阅读(2630) 评论(5) 推荐(2)

2011年4月27日

David Cutler NT之父

摘要： David Cutler 全世界公认的Windows NT之父，我们现在最常用的从XP开始直到Win7全部都是NT的内核，只是版本号不一样。这位NT之父对Windows内核有多少代码贡献呢，我统计了... 阅读全文

posted @ 2011-04-27 22:40 Russinovich`s Blog 阅读(3884) 评论(4) 推荐(0)

Mark Lucovsky NT内核作者之一

摘要：今天在研究Windows内核的源代码的时候无意间发现了很多Mark Lucovsky的名字。 NT的内核作者之一，景仰之情如涛涛江水连绵不绝。下面是我统计了一下内核源代码当中署名是Mark Luco... 阅读全文

posted @ 2011-04-27 22:03 Russinovich`s Blog 阅读(2288) 评论(1) 推荐(0)

SlickEdit 2011 版本的新特性

摘要： Slickedit 2011的新特性我最关心如下几点： 1. 终于有了64位版本 2. Context Tagging 支持多线程了 3. 对Visual Studio 2010 支持更加完美了最... 阅读全文

posted @ 2011-04-27 10:01 Russinovich`s Blog 阅读(2354) 评论(0) 推荐(0)

2011年4月26日

理解Windows会话

摘要：以前我一直不理解Windows Session(会话)倒底是一个什么概念，总是感觉这个概念很虚，现在理解了一点。写下来做一个备忘。简单的说，用户登陆到windows系统之后，不管该用户是本地登陆的，... 阅读全文

posted @ 2011-04-26 18:53 Russinovich`s Blog 阅读(6934) 评论(2) 推荐(10)

2011年4月21日

再谈360内核inline Hook

摘要：前几天写了一篇 360内核 inline Hook 分析有朋友感觉我没有把360的Hook的函数说清楚以至于产生误会。上一篇博客确实没有把这个问题说清楚。在上篇文章中说到360是Hook nt!... 阅读全文

posted @ 2011-04-21 11:08 Russinovich`s Blog 阅读(5810) 评论(11) 推荐(6)

2011年4月20日

SlickEdit 编辑器中的王者

摘要：今天一个朋友告诉我，他感觉SlickEdit一点也不好用。其实是他对SlickEdit还不熟悉。如果用熟了的话是非常好用的！就是上手有点难度，这点跟Total Command一样！不好上手，但是一旦... 阅读全文

posted @ 2011-04-20 22:48 Russinovich`s Blog 阅读(13881) 评论(22) 推荐(3)

2011年4月19日

瑞星的内核Hook分析

摘要：今天我下载的瑞星的新版本23.00.24.98，分析一下瑞星在免费之后内核当中的Hook有没有什么变化!1. SSDT 和 Shadow SSDT Hook 瑞星Hook了一大堆的SSDT，我就直接在内核里面把它们都恢复了！2. inline Hook 瑞星Hook了ObReferenceObjectByHandle前面的5个字节Hook前：kd> u nt!ObReferenceObjectByHandlent!ObReferenceObjectByHandle:805b1ab6 8bff mov edi,edi805b1ab8 55 push ebp805b1ab9 8bec mov 阅读全文

posted @ 2011-04-19 14:45 Russinovich`s Blog 阅读(2251) 评论(5) 推荐(2)

360内核 inline Hook 分析

摘要：今天下载了360的最新的版本，想看下最近360在内核的钩子与以前有没有变化！与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。Hook之前:kd> u nt!KiFastCallEntry+0xe1nt!KiFastCallEntry+0xe1:8053e621 2be1 sub esp,ecx8053e623 c1e902 shr ecx,28053e626 8bfc mov edi,esp8053e628 3b35d4995580 cmp esi,dword ptr [nt!MmUserProbeAddress (805599d4)]Hook之后:kd> 阅读全文

posted @ 2011-04-19 00:18 Russinovich`s Blog 阅读(3000) 评论(5) 推荐(3)

2011年4月16日

VS 正则表达式又一次不按标准

摘要：为什么微软做什么都要与别人不一样！在VS中正则表达式竟然是微软自已另搞了一套语法，与perl的语法不太一样，用起来很不舒服。为什么就不能与标准的一样呢!如下图：这个是微软的自已的正则语法(Regular Expressions (Visual Studio))http://msdn.microsoft.com/query/dev10.query?appId=Dev10IDEF1&l=EN-US&k=k(VS.REGULAREXPRESSIONBUILDER)&rd=true 阅读全文

posted @ 2011-04-16 11:49 Russinovich`s Blog 阅读(770) 评论(2) 推荐(0)

2011年4月15日

2011-04-15在博客园开通博客

摘要：我原先使用ChinaUnix博客已经有4年的历史了。不过ChinaUnix的博客越做越差，不得已搬家到这儿了！希望cnblogs不要让我失望! 阅读全文

posted @ 2011-04-15 13:19 Russinovich`s Blog 阅读(315) 评论(2) 推荐(0)