摘要:
PspCidTable表里。索引值总之4的倍数。也就是说 PID/4 才是PspCidTable索引。*8 才是PsPCidTable+偏移。获取进程对应的 _HANDLE_TABLE_ENTRY 结构 查找 Object_Header 地址 = Object对象地址-0x18 TypeIndex 阅读全文
摘要:
说在开始的话: 我上大学那会,虽说主要是学Java语言,但是web前端也稍微学了一些,那时候对前端也没多在意,因为涉入的不深,可以搞一个差不多可以看的界面就可以了,其他也没过多在意。 因为稍微了解一点点前端,所以看到前端相关资源的时候,总是也会忍不住也收藏下来,这篇文章就把我平时看到的一些关于WEB 阅读全文
摘要:
通过PID获取进程路径的几种方法 想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。第二种方法是GetProcessImageFileName函数, 阅读全文
摘要:
在暴力搜索内存进程对象反隐藏进程这篇文章中,我们提到: Object Header偏移0×008处Type成员为对象类型值,相同类型的对象具有相同的值. 自Window 7开始, _OBJECT_HEADER及其之前的一些结构发生了变化. lkd> dt _object_header nt!_OBJ 阅读全文
摘要:
Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改。 _OBJECT_HEADER: kd> dt _OBJECT_HEADERnt!_OBJECT_HEADER +0×000 PointerCount : Int4B +0×0 阅读全文
摘要:
1 环视基础 环视只进行子表达式的匹配,不占有字符,匹配到的内容不保存到最终的匹配结果,是零宽度的。环视匹配的最终结果就是一个位置。 环视的作用相当于对所在位置加了一个附加条件,只有满足这个条件,环视子表达式才能匹配成功。 环视按照方向划分有顺序和逆序两种,按照是否匹配有肯定和否定两种,组合起来就有 阅读全文
摘要:
这是一个移动端工程师涉足前端和后端开发的学习笔记,如有错误或理解不到位的地方,万望指正。 Node.js 是什么 传统意义上的 JavaScript 运行在浏览器上,这是因为浏览器内核实际上分为两个部分:渲染引擎和 JavaScript 引擎。前者负责渲染 HTML + CSS,后者则负责运行 Ja 阅读全文
摘要:
九个Console命令,让js调试更简单 10 小时前 • Web前端 • <!--<span class="fa fa-eye"></span>38 views •--> 暂无评论 九个Console命令,让js调试更简单 10 小时前 • Web前端 • <!--<span class="fa 阅读全文
摘要:
1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB(进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间 阅读全文
摘要:
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCES 阅读全文