123456

摘要： 1、下载安装Visual Studio 2008。2、下载安装WDK下载地址(点此下载)建议完全安装，为了便于配置，作者安装到C盘。(C:/WinDDK)3、下载ddkwizards(ddkwizard.exe)ddkbuild_cmd.zip(DDKBULID.CMD)ddkbuild_bat.zip(DDKBUILD.bat), 下载完成后安装ddkwizard.exe，安装目录默认。解压ddkbuild_cmd.zipddkbuild_bat.zip，拷贝到安装wdk的根目录下。(C:/WinDDK)4、设置系统环境变量5、设置Visual Studio 2008环境6、验证 阅读全文

摘要： 1.查看句柄信息!handle!handle 扩展显示目标系统中一个或所有进程拥有的句柄的信息0:001> !handleHandle 4 Type DirectoryHandle 8 Type FileHandle c Type FileHandle 10 Type KeyHandle 14 Type ALPC PortHandle 18 Type MutantHandle 1c Type KeyHandle 20 Type Even... 阅读全文

摘要： 1.复习完windows高级调试10-14章节2.IDA视频看完3.初看完深入解析windows操作系统10-21：1.复习window高级调试第10章10-24：1.搭建WDK环境，开始驱动学习 阅读全文

摘要： 自己随手写的，自测试通过:bool AntiVMware::AD_VM_CheckMacAddr(){ const long MAX_COMMAND_SIZE = 10000; TCHAR szFetCmd[] = _T("ipconfig /all");// 获取MAC的命令行 SECURITY_ATTRIBUTES sa = {sizeof(SECURITY_ATTRIBUTES), NULL, TRUE}; HANDLE hReadPipe, hWritePipe; //创建管道 BOOL bRet = CreatePipe(&hReadPipe, & 阅读全文

摘要： 反调试技巧总结-原理和实现一、 前言 前段学习反调试和vc，写了antidebug-tester，经常会收到message希望交流或索要实现代码，我都没有回复。其实代码已经在编程版提供了1个版本，另其多是vc内嵌asm写的，对cracker而言，只要反下就知道了。我想代码其实意义不是很大，重要的是理解和运用。 做个简单的总结，说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。 部分代码和参考资料来源：1、> hawking2、> Angeljyt3、http://bbs.pediy.com 4、> 看雪学院5、> Peter Ferrie我将反调试技巧 阅读全文

摘要： 很简单的函数：比如把当前线程限制在CPU0（第一个processor）上运行:SetThreadAffinityMask(GetCurrentThread(), 1)第0位是1又比如要把当前线程限制在CPU1，CPU2这两个上运行：SetThreadAffinityMask(GetCurrentThread(), 6)第1，2位同时为1If the function succeeds, the return value is the thread's previous affinity mask.If the function fails, the return value is ze 阅读全文

摘要： 一种保护应用程序的方法-模拟WindowsPE加载器，从内存资源中加载DLL作者：老实和尚coverlove@163.com1、前言目前很多敏感和重要的DLL(Dynamic-linklibrary)都没有提供静态版本供编译器进行静态连接(.lib文件)，即使提供了静态版本也因为兼容性问题导致无法使用，而只提供DLL版本，并且很多专业软件的授权部分的API，都是单独提供一个DLL来完成，而主模块通过调用DLL中的接口来完成授权功能。虽然这些软件一般都采用了加壳和反调试等保护，但是一旦这些功能失去作用，比如脱壳，反反调试，HOOKAPI或者干脆写一个仿真的授权DLL（模拟授权DLL的所有导出函数 阅读全文

摘要： 转个问答：1down vote favoritewhat is the difference between the working of two ? For WH_KEYBOARD_LLi read that it Installs a hook procedure that monitors low-level keyboard input events. What is meant bylow-level keyboard events ?Meh, don't focus too much on the term, it doesn't clarify anything. 阅读全文

摘要： CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在，而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明： __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent);第一个参数是进程句柄，第二参数用于存放结果。返回值表示函数是否执行成功,; 堆栈示意图;push pBool ; ebp + c;push hProcess ; ebp + 8;push retaddr ; ebp + 4;push ... 阅读全文

摘要： 依赖于API的反调试这个函数会看PEB中的BeingDebugged是否为0，不为0就表示无调试器，否则表示有调试器.注意的是以前代码都会对这个函数首字节是否为0x64作判断，但在win7下，需要对应kernelBase中的IsDebuggerPresent，而不是kernel32中的IsDebuggerPresent//使用IsDebuggerPresent函数检测DbgToolType AntiDebugged::AD_IsDebuggerPresent(){ HMODULE hKernelBaseDll = ::LoadLibrary(TEXT("kernelBase.dll& 阅读全文