摘要:
[toc] x64汇编环境配置 一丶x64环境配置 现在windows系统都是64位了,那么对应的汇编也就是说已经升级到64位了. 一直没有时间写博客将64位汇编写出来.所以现在细心整理一下. 首先我们先配置好开发环境,然后我们才能进行开发. 1.1 VS系列编译器配置X64Asm开发环境. 1.1 阅读全文
摘要:
[toc] 遍历进程用户名 代码例子 阅读全文
摘要:
[toc] 病毒写法,资源的释放. 一丶简介 1.资源简介 为什么说是病毒写法资源释放.其实技术是把双刃剑.可以做好事也可以做坏事.我们知道.程序的本质就是二进制.所以在VS中我们可以添加二进制数据并且释放出来.释放的资源可以是你自定义的.也可以是已有的资源. 那么资源如何加载以及释放 以VS201 阅读全文
摘要:
[toc] MinHook库的使用 x64 一丶简介 minHook库是一个支持x64跟x86HOOK的库.Detours也支持x64.不过是收费的所以在x64下使用minHook也是一个不错的选择. 1.minHook库的下载以及安装. MinHook 我已经打包了一份.可以在我的百度网盘中下载 阅读全文
摘要:
[toc] 提升为系统权限,注入到explorer中 一丶简介 我们上一面说了系统服务拥有系统权限.并且拥有system权限.还尝试启动了一个进程. 那么我们是不是可以做点坏事了. 我们有一个系统权限进程.而调用 CreateRemoteThread 可以创建远程线程,是否可以注入到我们桌面资源管理 阅读全文
摘要:
系统权限服务,创建进程. 一丶简介 为什么要创建系统权限服务.首先.强调权限一说. 我们创建的系统服务默认是系统权限的.然后系统权限(System)创建我们的进程.那么也是系统权限.我们的进程如果要注入到Explorer.exe中就很简单了. 二丶创建服务的几个步骤 1.编写服务步骤 1.main函 阅读全文
摘要:
[toc] Ring3挂起进程,跟恢复进程. 一丶简介 有时候我们做对抗的时候可能会遇到.一个进程常常操作我们.但是我们 可以通过挂起进程来挂起它让它无法操作.当然方法很多.不止这一种. 原理: 原理就是挂起所有线程,我们可以调用NtDLL中低层的函数还挂起进程. NT 函数 NtSuspendPr 阅读全文
摘要:
Detours HOOK 库 Hook 过滤LoadLibraryExW 一丶简介 1.1 Detours库简介 Detours是微软提供的HOOK库.为我们Hook提供了方便.再也不用手撸 HOOK了.当然手撸比较好.可以锻炼.不过工作中要求效率.所以使用这个库. 这个库很强大.对于初学者来说也很 阅读全文
摘要:
[toc] Windows核心编程,字符串的表示以及宽窄字符的转换 1.字符集 1.1.双字节字符集DBCS 何为双字节字符集,在以前我们都是将文本字符串编码为一组以0结尾的单字符. 可以调用strlen进行判断结尾是否是0进而返回字符串的字符个数. 双字节字符集都是由1个或者2个字节组成.日本的汉 阅读全文
摘要:
Windows核心编程第一章,错误处理. 一丶错误处理 1.核心编程学习总结 不管是做逆向,开始做开发.在Windows下.你都需要看一下核心编程这本书.这本书确实写得很好.所以自己在学习这本书的同时,也把自己所学的知识进行 总结,以及巩固. 2.常见的Windows函数返回类型总结 数据类型 作用 阅读全文
摘要:
// 使用OutputDebugString很不方便.不能自定义格式化输出.所以重写了一下. 阅读全文
摘要:
``` include include using namespace std; BOOL IterAtorFileSaveFile(IN LPWSTR pFindPath, OUT vector& vSaveFile)//遍历文件,并且保存文件到vector容器当中. { HANDLE hFind 阅读全文
摘要:
``` #include #include #include #include using namespace std; BOOL GetEachLevelDir(PWSTR GetPathName, vector &wSavePath,DWORD PathLen) //传入一个路径,获取每一级的目录.并且用数组进行存储. { TCHAR *pCurPoint = GetPathName... 阅读全文
摘要:
``` BOOL SplitPathName( PWSTR MyXbpathBuffer, wstring& wdrive, wstring& wdir, wstring& wfname, wstring& wext)//分割路径PWSTR MyXbpathBuffer
{ TCHAR drive[_MAX_DRIVE]; TCHAR dir[_MAX_DIR]; TCHAR f... 阅读全文
摘要:
```
BOOL GetLnkFileName( OUT PWSTR pLnkName, OUT PWSTR OepnFileNameBuufer, IN DWORD OpenFileNameBufferSize) //传入快捷方式,返回快捷方式指向的文件名
{ CoInitialize(0); BOOL bRet = FALSE; //返回值判断. IShellLinkW* shli... 阅读全文
摘要:
/ 1.修改文件头节个数 +1 2.修改ImageBase 3.遍历节表,拷贝最后一个节表到下面 4.修改节的虚拟大小(节表.virtualSize) 5.修改节的虚拟地址(RVA 节表.virtualAddress) 内存对齐( 上一个节表.virtualAddress + 上一个节表.virtu 阅读全文
摘要:
#include <windows.h> bool AdjustPrivileges() { HANDLE hToken = NULL; TOKEN_PRIVILEGES tp; TOKEN_PRIVILEGES oldtp; DWORD dwSize = sizeof(TOKEN_PRIVILEG 阅读全文
摘要:
``` DWORD GetKerner32ImageBase()
{ DWORD nIMageBase = 0; __asm { xor edx,edx mov ecx, fs:[0x30]; mov ecx, [ecx + 0x0C]; mov ecx, [ecx + 0x1C]; loc_57901D: mov eax, ... 阅读全文
摘要:
``` #include #include #include #include #include #include #pragma comment (lib,"Psapi.lib") BOOL DosPathToNtPath(LPTSTR pszDosPath, LPTSTR pszNtPath) { TCHAR szDriveStr[500]; ... 阅读全文
摘要:
VS2017 内联汇编 __asm { call NEXT NEXT: pop eax } 阅读全文