123456

摘要： argc: 整数,用来统计你运行程序时送给main函数的命令行参数的个数argv: 字符串数组，用来存放指向你的字符串参数的指针数组，每一个元素指向一个参数argv[0] 指向程序运行的全路径名argv[1] 指向在DOS命令行中执行程序名后的第一个字符串argv[2] 指向执行程序名后的第二个字符串如:int _tmain(int argc, _TCHAR* argv[]){ printf("%d\n",argc); while (argc) { //不同的编译器不同，如果%s只能打印出第一个字符，那么改成%S printf("%s\n",argv[- 阅读全文

摘要： 1.http://www.woodmann.com/TiGa/idaseries.html2.http://www.sgoldcn.com/apps.php?q=weibo&uid=6584 阅读全文

摘要： 路径截断与合并函数PathRemoveArgs去除路径的参数PathRemoveBackslash去除路径最后的反斜杠“\”PathAddBackslash在路径最后加上反斜杠“\”PathRemoveBlanks去除路径前后的空格PathAddExtension在文件路径后面加上扩展名PathRemoveExtension去除文件路径扩展名PathRenameExtension更改文件路径扩展名PathRemoveFileSpec去除文件名，得到目录PathUnquoteSpaces去除路径中的首尾空格PathQuoteSpaces判断路径中是否有空格，有的话，就是用“”引号把整个路径包含起 阅读全文

摘要： 相对路径到绝对路径PathCombinehttp://msdn2.microsoft.com/en-us/library/ms628544.aspx 绝对路径到相对路径PathRelativePathTohttp://msdn2.microsoft.com/en-us/library/ms628614.aspx#include "stdafx.h"#include "shlwapi.h"#pragma comment(lib, "shlwapi.lib")int _tmain(int argc, _TCHAR* argv[]){ ch 阅读全文

摘要： 新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码，并且用一种新的技术在远程进程中执行它，这种技术完全工作在用户模式下，并且不需要特殊的条件比如像管理员权限或者之类的要求#define _WIN32_WINNT 0x0400#include typedef LONG NTSTATUS, *PNTSTATUS;#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)typedef enum _SECTION_INHERIT {ViewShare = 1,ViewUnmap = 2} SECTION_ 阅读全文

摘要： KnownDlls必须是在系统目录中，并且是在系统启动的时候，从注册表读取KnownDlls列表。之后，如果加载这个dll，首先搜索系统目录，其次搜索当前目录。系统自带KnownDlls，读取注册表里的dll，就不管其他的dll了 knowndlls,顾名思义，是指系统目录默认加载的DLL，现在病毒伪装的马甲DLL置于文件启动目录之下伺机启动早已不是什么有创意的做法。应用程序启动前优先加载当前目录下的所需DLL，这就给木马的启动又多了一条途径，而knowndlls键值正是斩断这条传播通断的利剑，无论你在当前目录下有多少马甲DLL，应用程序都会从SYSTEM目录下去寻找，从而避免了马甲的毒害。K 阅读全文

摘要： 说起DLL劫持技术，相信大家都不会陌生，因为这种技术的应用比较广泛，比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱，主要是因为该技术可以有效的躲过大部分杀软，并且实现起来技术难度不大。DLL劫持技术也不是什么新技术，记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说，DLL劫持技术就显得很神秘了，本系列教程将向大家详细讲解什么是DLL劫持、DLL劫持的形成原因及原理、最后还会以实例向大家讲解如何通过编程实现DLL劫持。●背景知识●首先我们要了解Windows为什么可以DLL劫持呢？主要是因为Windows 阅读全文

摘要： DWORD MyGetFileSize(const char* FileName){ FILE *fp = fopen(FileName, "rb"); if (NULL == fp) { return 0; } DWORD pos = ftell(fp);// 返回当前值,pos保存当前值 fseek(fp, 0, SEEK_END);// 定位到最后 DWORD size = ftell(fp); // 返回当前值，为文件大小size fseek(fp, pos, SEEK_SET);// 设回原来的当前值 fclose(fp); return size;}取得文件大小 阅读全文

摘要： 目前windows下注入dll的技术大体上就是两种1：钩子 SetWindowsHook2：创建远程线程 CreateRemoteThread尽管都能实现远程注入dll，但都难逃杀毒软件的法眼，特别是 CreateRemoteThread一般都被杀毒软件监控的很牢，这里提供一个巧妙的方法能够利用目标进程（确切地说是线程）自己主动调用LoadLibrary装载dll.我们想一想，windows下vc调试器可以调试正在运行的进程，功能很是强大，那可不可以借鉴调试器的机理呢？完全可以，调试器的机理大致分为以下几步：1：OpenProcess() 获取目标进程句炳，拥有调试权限（我们这里不需要用这个权 阅读全文

摘要： 标题】: 劫持正在运行进程的EIP注入代码的方法【作者】: 火血狼(QQ:65845743)【工具】: VC++2005, WINXP, WIN7【声明】: 1.禁止用来做破坏；2.转载请告知作者.-----------------------------------------------------------------------------【灵感来源】近日，在读>的时候，偶然发现，一个函数GetThreadContext，该函数可以使用户级的 代码访问并操作指定线程的上下文：CONTEXT，通过这个CONTEXT里的一个字段EIP,我们可以得到CPU寄存器的当前值。当时就想，如 阅读全文