摘要:
/*! * 函 数 名: AddTabWnd * 日 期: 2020/05/21 * 返回类型: void * 参 数: const CString & title 要添加的选项名 * 参 数: CDialogEx * pSubWnd 要添加的选项对应的对话框类 * 参 数: UINT uId 要添 阅读全文
摘要:
实现原理: 实现文件监控操作的核心函数是ReadDirecotryChangesW。这个API函数可以设置监控目录、过滤条件,从而获取监控数据。在调用API函数ReadDirecotryChangesW设置监控过滤条件之前,需要先通过CreateFile函数打开监控目录,获取监控目录的句柄。之后才能 阅读全文
摘要:
实现原理: 功能主要是对设备的插入和拔出进行监控,所以只需要对WM_DEVICECHANGE消息回调函数的wParam参数进行判断即可。主要判断操作是否为设备已插入操作DBT_DEVICEARRIVAL或设备已移除操作DBT_DEVICEREMOVECOMPLETE。然后再重点分析相应操作对应的lP 阅读全文
摘要:
实现原理: 管道是一种在进程间共享数据的机制,其实质是一段共享内存。Windows系统为这段共享的内存设计使用数据流I/O的方式来访问。一个进程读,另一个进程写,这类似于一个管道的两端,因此这种进程间的通信方式称为“管道”。管道分为匿名管道和命名管道。匿名管道只能在父子进程间进行通信,不能在网络间通 阅读全文
摘要:
前言: 在用户层上,实现按键记录的方法也很多,常见的有3种方式,具体如下: 利用全局键盘钩子。程序设置全局键盘钩子,从而捕获按键消息,进行记录 利用GetAsyncKeyState函数。该函数可以判断按键状态,根据是否为按下状态来判断用户是否进行了按键操作,从而记录 利用原始输入模型,直接从输入设备 阅读全文
摘要:
//捕获桌面屏幕 BOOL CFunction::ScreenCapture() { // 获取桌面窗口句柄 HWND hDesktopWnd = ::GetDesktopWindow(); if (hDesktopWnd == NULL) { return FALSE; } // 获取桌面窗口DC 阅读全文
摘要:
实现原理: WIN32 API函数CreateToolhelp32Snapshot不仅可以获取系统中所有进程的快照,还能获取系统中所有线程快照、指定进程加载模块快照、指定进程的堆快照等。所谓的快照是指,当第一次调用某个函数枚举进程的时候,它便得到了当前系统的进程信息,而第二次试图得到这个信息的时候, 阅读全文
摘要:
前言: 为了实现windows上的数据压缩和解压缩,最方便的方法就是直接调用WIN32 API函数,windows系统的ntdll.dll专门提供了RtlCompressBuffer函数和RtlDecompressBuffer函数来负责数据压缩和解压缩操作,这两个函数并未公开,需要通过ntdll.d 阅读全文
摘要:
前言: DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应 阅读全文
摘要:
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 实现过程: (1).调用CreateProcess以挂起的方式(CREATE_SUS 阅读全文