摘要：这是操作系统里的一个概念，句柄是WONDOWS用来标识被应用程序所建立或使用的对象的唯一整数，WINDOWS使用各种各样的句柄标识诸如应用程序实例，窗口，控制，位图，GDI对象等等。WINDOWS句柄有点象C语言中的文件句柄。 从上面的定义中的我们可以看到，句柄是一个标识符，是拿来标识对象或者项目的... 阅读全文

摘要：选择框 为多选框,是方框单选框 为圆形按钮组合框 为有下拉键头的,信息组合起来的.列表框 显示信息表项的. 阅读全文

摘要：递归,就是求递解归.求的时候是从后往前递,解的时候是从前往后解.例如求1+2+3+4+5内存的解释整个内存可以看作一个旅馆内存划分为若干个内存块可以看作旅馆的房间,房间有大房间,小房间,所以内存块也是有大小的.例如定义的时候数值型的integer数据是2个字节,数值型的single是4个字节,字符串型的是任意个字节根据实际字符串的大小来定定义的变量是用来标识一个或多个内存块的集合的,可以看作房间的号码旅馆的客人可以看作内存的数据客人住进房间可以看作是数据存进内存,也就是相当于对变量赋值客人住进房间也意味着原有的客人退房了,也就是赋值语句发生后,原有的数据就不会存在了.x=1x=2表示1这个数值 阅读全文

摘要：假如想自己写软件的话，可以先FindWindow找到那个窗口的句柄，然后用GetWindowThreadProcessId就可以得到这个窗口的进程ID和线程ID，有了这些ID就可以找到进程名称了。 阅读全文

摘要：DLL部分的编写:.版本 2.程序集 程序集1.子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码_临时子程序 () ' 在初始化代码执行完毕后调用测试代码返回 (0) ' 返回值被忽略。.子程序 _临时子程序' 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。.子程序 初始化, 整数型, 公开, 在DLL中公开函数下调用本命令,对DLL进行初始化处理,返回值需要继续返回给公开函数.参数 一, 整数型, , 传入 阅读全文

摘要：word最后一个字母为D表示为2个字节,dword为2*2=4个字节导入表是由一系列的IMAGE_IMPORT_DESCRIPTOR结构组成的。结构的个数由文件引用的DLL个数决定，文件引用了多少个DLL就有多少个IMAGE_IMPORT_DESCRIPTOR结构，最后还有一个全为零的IMAGE_IMPORT_DESCRIPTOR作为结束。(隐式加载才有输入节) //每个IID20个字节.输入表为若干个IID组成以及最后一个都为0的IID结构. 每个IID为20个字节一个dll对应一个IMAGE_IMPORT_DESCRIPTOR结构。一个function对应一个IMAGE_THUNK_D.. 阅读全文

摘要：http://blog.csdn.net/enyblock/article/details/6650113PE文件输入表获取过程 这个写得比较详细！！！ 阅读全文

摘要：输入表(IID) 输入表输入表的结构：输入表是以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始，一个程序 要调用几个dll就会有几个IID项，即每个IID对应于一个dllIMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics ; ;00h DWORD OriginalFirstThunk; // 注释1 }; //这是一个组合体,OriginalFirstThunk是指向函数名偏移地址(指针)组成的数组的一个指针 TimeDateStamp DWORD ;04h... 阅读全文

摘要：---------------------------------------DOS STUB dos残余----------------------------------------PE头(包括三个方面)PE头(PE文件标识符+文件头+可选头) 总大小是248字节1、singature PE文件标识符(4个字节)50 45 00 00（ PE00）2、Image_File_Header FileHeader文件头(20个字节) a、machine intel 80386以上平台值为4c 01 b、NumberOfSections 指出文件中所含有的区段（也叫区块，节）的数量 c、TimeD 阅读全文

摘要：基地址是内存映射EXE和DLL文件的首址，在Win32中这是一个很重要的概念。为了方便起见，WindowsNT 和 Windows9x用模块的基地址作为这个模块的实例句柄（HINSTANCE）。在Win32中，把模块的基地址叫做HINSTANCE可能导致混淆，因为术语"实例句柄"来自16位Windows。一个程序在16位Windows中的每个拷贝得到它自己分开的数据段（和一个联系起来的全局句柄）来把它和这个程序其它的拷贝分别开来，就形成了术语"实例句柄"。在Win32中，每个程序不必和其它程序区别开来，因为他们不共享相同的地址空间。术语INSTANCE仍 阅读全文

摘要：LRESULT CALLBACKCALLBACK 凡是由你设计却由windows系统呼叫的函数，统称为callback函数.LRESULT是一个数据类型， MSDN： 32-bit value returned from a window procedure or callback function 指的是从窗口程序或者回调函数返回的32位值 阅读全文

摘要：PE文件被称为可移植的执行体是Portable Execute的全称，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL） 一个操作系统的可执行文件格式在很多方面是这个系统的一面镜子。虽然学习一个可执行文件格式通常不是一个程序员的首要任务，但是你可以从这其中学到大量的知识。在这篇文章中，我会给出 MicroSoft 的所有基于 win32系统（如winnt,win9x）的可移植可执行（PE）文件格式的详细介绍。在可预知的未来，包括 Windows2000 , PE 文件格式在 MicroSoft 的操作系统.. 阅读全文

摘要：注册 创建 显示 刷新窗口(注建显新),事件,消息循环,消息处理,钩子,dll钩子程序运行的逻辑关系.理清这个关系很重要.钩子:定义钩子函数,安装钩子,卸载钩子 阅读全文

摘要：一、什么是API Hook 见下图所示，API Hook就是对API的正常调用起一个拦截或中间层的作用，这样可以 在调用正常的API之前得到控制权，执行自己的代码。其中Module指映射到内存中的可执 行文件或DLL。 module0 module1 | | CALL module1!API001 --------------------------------->| API001 |<-------------------------------------------| | | API215 |<----------------------------------CALL 阅读全文

摘要：浅谈Windows API编程2007年10月20日星期六 20:29WinSDK是编程中的传统难点，个人写的WinAPI程序也不少了，其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或者是windows内部的运行机制……WinSDK是编程中的传统难点，曾经听有一个技术不是很好的朋友乱说什么给你API谁都会用，其实并非那么简单，个人写的WinAPI程序也不少了，其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或者是windows内部的运行机制。首先来谈谈句柄，初学习WinSDK的朋友刚看到这个词头大了吧?其实我也是了，我们来看看progr 阅读全文

摘要：我用术语"MODULE"来表示一个可执行文件或一个DLL载入内存的代码（CODE）、数据（DATA）、资源（RESOURCES）除了代码和数据是你的程序直接使用的，一个模块还可以由WINDOWS用来确定数据和代码载入的位置的支撑数据结构组成。在16位WINDOWS中，这些支撑数据结构在模块数据库（用一个HMODULE来指示的段）中。在WIN32里面，这些数据结构在PE文件头中，这些我将会简要地解释一下。 阅读全文

摘要：近来在设计一个热键设置程序中我学会了使用Setwindowlong和Callwindowproc这两个Api函数，有了它我们就可以处理你的窗口或控件所接收到的任何消息.由于前一段时间我看过一篇介绍QQ密码监视盗取法的文章，使我想到是不是可以用这两个函数来进行密码保护呢，经过一番尝试终于成功了，现在拿出来与大家分享。 几乎所有的监视程序都是通过向你密码的文本框发送一条WM_GETTEXT消息来获取密码的，任何文本框只要接收到此消息它就会老老实实的把自己保存的内容告诉发送消息者（它可不知道它保存的是我们重要的密码呀）， “*”号是不能保护我们的密码的，是不是可以做一个“聪明”一点的文本框呢，其实我 阅读全文

摘要：新建一个窗口程序，然后添加一个时钟，再添加两个按钮（名称别去修改，就这样）首先复制粘贴DLL部分内容：.版本 2.DLL命令 CallWindowProc, 整数型, "user32.dll", "CallWindowProcA", , 呼叫窗口函数地址 .参数 前一窗口函数地址, 字节集 .参数 窗口句柄, 整数型 .参数 消息值, 整数型 .参数 附加参数1, 整数型 .参数 附加参数2, 整数型.DLL命令 lstrcpyn, 整数型, "kernel32.dll","lstrcpyn",,把第二个参数复制给 阅读全文

摘要：易语言钩子DLL注入源码及源码说明2010-04-06 13:52[所有要使用到的API].版本 2.DLL命令 LoadLibraryA, 整数型,"kernel32.dll","LoadLibraryA" .参数 lpLibFileName, 文本型.DLL命令 SetWindowsHookExA, 整数型, "user32.dll", "SetWindowsHookExA", 公开, SetWindowsHookEx .参数 钩子类型, 整数型, , idHook .参数 回调函数地址, 整数型, , lpf 阅读全文

摘要：后卫大师教你进程注入首先提一下，由于文章完全是我手写，所以打不了太多，请包含，由于我已经提供了源代码，所以我在这里详细讲一下理论，至于想看代码的下载代码就可以了。代码中关于注入的部分做了详细的注释。MFC界面部分的注释没有写，（毕竟太肤浅了。） 好，言归正传。 所谓DLL注入，既把一个DLL文件放到目标进程中。 下面介绍2种注入方式： 1.远程线程注入。 2.利用hook注入。（可以过卡巴斯基）由于本文篇幅限制，不写如何编写DLL。一.首先讲一下远程线程注入的方法：1.假设我们已经写好了一个DLL文件。2.设置本进程权限为debug权限，既调试权限，可以打开其他进程。代码如下：BOOL Set 阅读全文