Nemesis

摘要： 在开发或者测试的过程中，我们可以通过 adb 来管理多台设备，其一般的格式为： adb [-e | -d | -s <设备序列号>] <子命令> 在配好环境变量的前提下，在命令窗口当中输入 adb help 或者直接输入 adb ，将会列出所有的选项说明及子命令。这里介绍一些里面常用的命令： 最后还 阅读全文

摘要： 这命令超级牛B ，用途是算内存所在屋里地址 !vtop 命令可以有两个参数，第一个参数是CR3 寄存器的值，第二个参数是要查询的虚拟地址是多少，比如 这样使用。 然后 WinDBG会自动计算物理地址，并且写出计算过程，如下 一目了然。 阅读全文

摘要： 不算新的东西，也都不小了， VEH的结构处理，平行于SEH，但是略有区别， 相关函数有四个 第一个函数 用来向VEH链注册一个异常处理函数， 参数1的意思是，是否插入到VEH链首部， 如果参数1为非0，则此注册的函数会在出现异常之后优先被触发（仅仅是优先，是否First还要看是否有其他人也注册了函数 阅读全文

摘要： 其实很多时候，远程调试的话，我还是更喜欢用WinDBG的， 首先，可以练习WinDBG的使用手段， 其次，可以增加WinDBG的熟练度， 最重要的，WinDBG在内核调试部分很常用，我也很喜欢它，所以我也经常用， 但是用多了会发现有个问题，就是，WinDBG建立普通的调试环境太慢了， （不考虑dbg 阅读全文

摘要： 这个东西的位置在DEVICE_OBJECT的Flags字段中， 本来这个Flags大多的情况下都是在设置IO方式，如DO_BUFFERED_IO, 但特殊的位也可能需要在这里设置。 用处是防止当自己的设备对象初始化完成之前，别的模块来发送信息给自己的模块的。 如果程序仅在DriverEntry中创建 阅读全文

摘要： 好多好多时候，我都需要找各种各样的数据结构好难好难找不到， 怎么办， GITHUB，找不到， WRK，找不到， 各种各种找不到， 找到了，突然发现，和自己操作系统内的版本可能还不相同， 怎么办啊怎么办， 这么办， WinDBG，加载符号， 然后 dt。。。。 要啥有啥。我开心得不得了。 阅读全文

摘要： https://github.com/odzhan/shellcode/blob/master/win/pi/createthread.h GitHub上一个可能是老外的工程， 挺老的技术了，我记得很久很久以前好像在什么地方看到过， 方法就是，在32位进程注入64位进程之前使用64位的代码来注入，这 阅读全文

摘要： 白天发生的这个事让我特别揪心， 我让数据组统计数据，然后统计的数据邮件发回来了，到我这里了，我就看了一下， 没想到阿，没想到，这数据邮件也发我老大那边去了，多了个收件人， 发就发吧， 我老大来劲了，问我， 这数据是什么意思， 又发了一遍统计邮件是做什么， 是新发的统计邮件正确，还是以前的统计邮件正确 阅读全文

摘要： 内存屏障的出现： 为了保证内存可以被正确地，有序地使用而出现的一个机制。 由于一段代码在编译时可能会出现内存的使用顺序与预期不相同的情况，所以需要这样一个机制来保证内存的使用顺序或方法来符合程序员的预期。 导致出现这样问题的可能性有两种： 1：编译器编译时的优化，导致内存使用顺序不正确， 2：软件多 阅读全文

摘要： 加载DLL 的时候断： sxe ld:[dll] 卸载DLL 的时候断： sxe ud:[dll] 比如： sxe ld:wininet.dll (在wininet.dll 被装载的时候断点) 这里DLL名字是支持通配符的 比如： sxe ld:wini*.dll 或者直接在DllMain下断： b 阅读全文