Nemesis

摘要： 哪个重要。 应用层代码来说，实际上说任意一个重要都不为过， 但是到了内核里面之后，哪个重要。 肯定是效率阿，内核跑得慢，上面还有得玩么。 阅读全文

摘要： 这两段代码，功能上没有任何区别，但是你喜欢哪种写法。 如果有缘人看到的话，可以给我留个言，但是一定要写下原因，咱们可以讨论一下。 我喜欢第二种写法。 原因，执行效率上，二者几乎没有任何区别， 但是前提是编译器没问题，而且FlagOn它必须是个宏，（事实上它确实是个宏，但是没有任何东西能保证一直或者说 阅读全文

摘要： 在搞攻防对抗，哎。 去年外包方案还是很牛X的，今年不行了。 外包做了个关机修复的方案， 没有代码，只能编出来，然后看源码， 哎，原来是HOOK了主窗口过程，然后等section结束， 结束的时候，做修复的。 生活无奈啊。没啥技术含量。 阅读全文

摘要： 在我需要帮助的时候，没有人会帮助我。 阅读全文

摘要： 总有那些想不到的函数。 waccess waccess_s 我去哪学这些去？ 阅读全文

摘要： https://technet.microsoft.com/en-us/sysinternals/bb897447.aspx http://www.rohitab.com/discuss/topic/39956-my-first-native-application/ 以前没注意过这里。 HKLM\ 阅读全文

摘要： 前言： 1 #if 0 2 3 其实，现在我要做的这件事情，是有个前提的， 4 有一天晚上，我和一个朋友讨论一个相关技术的问题， 5 （因为我也不是很懂，我不确定我的观点是正确的，所以才是讨论）， 6 我们聊到了，Windows的映射机制， 7 我们模拟的场景是这样的： 8 （简单场景，x86环境下 阅读全文

摘要： 学了好久好久，但是好久好久都没有用过，今天突然要用，都快忘了怎么玩了， 这里记录一下吧。 如何检测PAE r cr4 第5位如果是1，则开了PAE，否则没开 切入目标进程 查找一个自己关注的字符串s -u (start) L(len) ""得到地址 得到地址kd> db 01014dd401014d 阅读全文

摘要： 实际上，这块可以写成汇编，然后做远程注入用 方法 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构 4、通过_LIS 阅读全文

摘要： 最近在一点点练习，看Windows 内部的执行流程， 从简单的看起，然后一点点积累，慢慢学习， 我一哥们看到我这么做了之后，跟我说的第一句话就是。。。 “你个SB，wrk里面不是有代码么” 哎，我的心拔凉拔凉的， 看别人的代码，有自己逆一遍印象深么， 而且我也想练习一下自己的逆向的能力， 虽然现在都 阅读全文