一条咸鱼干

摘要：过TP双机调试，参考http://bbs.pediy.com/showthread.php?t=199118&highlight=tp+x64，http://www.mengwuji.net/thread-1975-1-1.html 过tp保护内核http://www.mengwuji.net/th 阅读全文

摘要：某p在双机调试时，会检测KdEnteredDebugger是否等于1，如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析，当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 具体代码实现： 阅读全文

摘要：一： 驱动入门环境配置为：vs2012+wdk8，现在微软支持在线安装，安装非常简单只是可能需要远程下载占用不少时间。具体配置方法参考：http://blog.csdn.net/swanabin/article/details/41380449 二：配置好后，可以开始测试了，source文件夹内新建 阅读全文

摘要：调试程序调试到系统库函数的代码时，总会发现系统函数都是从一条MOVEDI, EDI指令开始的，紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编，可以发现它的每个导出函数都是如此，并且每个导出函数开始处的MOVEDI, EDI上面紧接着5条NOP指令。比如 阅读全文

摘要：决定在博客园安家，当做学习的笔记本~ 阅读全文

摘要：非常详细的解释了esp和ebp的关系 一直对寄存器ESP和EBP的概念总是有些混淆，查看定义ESP是栈顶指针，EBP是存取堆栈指针。还是不能很透彻理解。之后借于一段汇编代码，总算是对两者有个比较清晰的理解。 下面是按调用约定__stdcall 调用函数test(int p1,int p2)的汇编代码 阅读全文

摘要：dll的写法如下： yufd.cpp #include <Windows.h> #include<stdio.h> #include "yufd.h" char pcName[1024] = ""; char className[1024] = ""; HWND h = 0; extern "C" 阅读全文