一条咸鱼干

摘要： C++ 输入输出 C# char chr[255] O StringBuilderKCA_DIR I intLPCSTR I stringint I intLPSTR O StringBuilderint* O out intDWORD I intDWORD* O out intBOOL I boo 阅读全文

摘要： 过TP双机调试，参考http://bbs.pediy.com/showthread.php?t=199118&highlight=tp+x64，http://www.mengwuji.net/thread-1975-1-1.html 过tp保护内核http://www.mengwuji.net/th 阅读全文

摘要： 某p在双机调试时，会检测KdEnteredDebugger是否等于1，如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析，当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 具体代码实现： 阅读全文

摘要： 一： 驱动入门环境配置为：vs2012+wdk8，现在微软支持在线安装，安装非常简单只是可能需要远程下载占用不少时间。具体配置方法参考：http://blog.csdn.net/swanabin/article/details/41380449 二：配置好后，可以开始测试了，source文件夹内新建 阅读全文

摘要： 调试程序调试到系统库函数的代码时，总会发现系统函数都是从一条MOVEDI, EDI指令开始的，紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编，可以发现它的每个导出函数都是如此，并且每个导出函数开始处的MOVEDI, EDI上面紧接着5条NOP指令。比如 阅读全文

摘要： 决定在博客园安家，当做学习的笔记本~ 阅读全文

摘要： 非常详细的解释了esp和ebp的关系 一直对寄存器ESP和EBP的概念总是有些混淆，查看定义ESP是栈顶指针，EBP是存取堆栈指针。还是不能很透彻理解。之后借于一段汇编代码，总算是对两者有个比较清晰的理解。 下面是按调用约定__stdcall 调用函数test(int p1,int p2)的汇编代码 阅读全文

摘要： dll的写法如下： yufd.cpp #include <Windows.h> #include<stdio.h> #include "yufd.h" char pcName[1024] = ""; char className[1024] = ""; HWND h = 0; extern "C" 阅读全文

摘要： 基础的东西不想多讲，简单的提一句，具体请问度娘。Windows的PE加载器会从执行文件目录下寻找DLL，如果找不到再去其他地方找。把我们特定的DLL伪装成系统DLL，然后放在执行文件目录下，就能实现DLL劫持。劫持来干嘛？ 肯定是要在被干程序体内有一席之地，然后想干什么就干什么。比如劫持ws2_32 阅读全文