摘要:
参考 http://blog.csdn.net/zhoujiaxq/article/details/24366561 前言 传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番 由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激! 关于VT可以先参考海 阅读全文
摘要:
使用 设置 PspNotifyEnableMask 为 0 CreateProcess CreateThread LoadImage 回调函数都不会起作用 目的: 遍历系统中的回调 类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以 阅读全文
摘要:
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法 Win32提供了两个API, IsDe 阅读全文
摘要:
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 阅读全文
摘要:
x86平台转x64平台关于内联汇编不再支持的解决 2011/08/25 把自己碰到的问题以及解决方法给记录下来,留着备用! 工具:VS2005 编译器:cl.exe(X86 C/C++) ml64.exe(X64 ASM64) 前提:X86下内联汇编是嵌在函数当中实现的 在X86平台下,可以轻松的在 阅读全文
摘要:
VS2012在win32平台编译的时候可以很好的支持汇编语言的嵌入。建立一个控制台应用程序,选择空项目。项目建立好之后添加一个.cpp文件。在cpp文件中写入如下代码: [cpp] view plain copy print? #include <iostream> using namespace 阅读全文
摘要:
标 题: 【原创】消息钩子注册浅析 作 者: RootSuLe 时 间: 2011-06-18,23:10:34 链 接: http://bbs.pediy.com/showthread.php?t=135702 <!-- google_ad_section_start --> windows消息钩 阅读全文
摘要:
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下: [cpp] view 阅读全文
摘要:
BOOL CreateDirectory( LPCTSTR lpPathName, LPSECURITY_ATTRIBUTES lpSecurityAttributes ); 这个是大多数用户都知道的,但是这个有缺点,只能是一层一层的创建。。。很是麻烦!!! 下面给大家介绍一个函数: BOOL Ma 阅读全文
摘要:
本帖最后由 奋斗丶小Z 于 2016-6-6 13:39 编辑 此函数可以启用或关闭开启之后变得和系统进程一样被杀系统直接蓝屏系统进程也是此函数实现的上图 可以用于进程保护 <ignore_js_op> %3MWID[XWF21C%4XP(FDCZI.jpg (98.99 KB, 下载次数: 0) 阅读全文