2018 年 10月 8 日随笔档案 - priarieNew

c语言解决函数变参数问题 va_list

摘要：前言：看到sprintf，swprintf之类的可变参数格式化函数，是否想过我们能写一个自定义的类似的函数吗？答案是很定的，下面来介绍一种方法，用va_list，va_start, va_end来实现。 va_list是一个宏，使用的时候先定义一个变量，然后用va_start来初始化，使用完后用va 阅读全文

posted @ 2018-10-08 19:24 priarieNew 阅读(1136) 评论(0) 推荐(0) 编辑

内核下枚举进程（一）进程活动链

摘要：今天学会了一种在内核下枚举进程的方法，写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下：从上述结构中可以看出ActiveProces 阅读全文

posted @ 2018-10-08 19:01 priarieNew 阅读(670) 评论(0) 推荐(0) 编辑

winDbg + VMware + window 双机联调环境搭建

摘要：这里简单的介绍一下内核开发双机联调的搭建环境，尽管网上有很多类似的文章，但看了很多总是不太舒服，觉得不太明白，所以自己实践一下总结一篇。下面就拿我的环境简单介绍，希望别人可以看懂。准备工具：装虚拟机VMware，安装被调试机OS（笔者的是win7 x86）笔者的真机OS版本为 win8.1 x64（阅读全文

posted @ 2018-10-08 18:54 priarieNew 阅读(1891) 评论(0) 推荐(0) 编辑

EnumProcess 实现枚举进程

摘要： BOOL WINAPI EnumProcesses ( _Out_writes_bytes_(cb) DWORD * lpidProcess, _In_ DWORD cb, _Out_ LPDWORD lpcbNeeded... 阅读全文

posted @ 2018-10-08 18:49 priarieNew 阅读(1337) 评论(0) 推荐(0) 编辑

NtQuerySystemInformation 枚举进程

摘要：函数原型: NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG Syst 阅读全文

posted @ 2018-10-08 18:45 priarieNew 阅读(2358) 评论(0) 推荐(0) 编辑

Windows API GetShortPathName GetLongPathName

摘要：函数原型: The GetShortPathName function retrieves the short path form of a specified input path. DWORD GetShortPathName( LPCTSTR lpszLongPath, // null-ter 阅读全文

posted @ 2018-10-08 18:43 priarieNew 阅读(1015) 评论(0) 推荐(0) 编辑

检查进程是否被调试

摘要：转自：http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦阅读全文

posted @ 2018-10-08 18:29 priarieNew 阅读(2537) 评论(0) 推荐(0) 编辑

查找父进程，进程的PEB 进程是否被调试 NtQueryInformationProcess

摘要： //说明：把Reserved3转化为DWORD后一定会得到devenv.exe 进程的ID，dwParentID也可以说明问题 //说明：这是peb字段，我们看到BeingDebugged字段已经被置为1，说明正在被调试， SessionId：字段也显示出了该进程的会话ID其它字段可以在深入的研究，阅读全文

posted @ 2018-10-08 17:47 priarieNew 阅读(2281) 评论(0) 推荐(0) 编辑

Windows API 25篇 TerminateProcess

摘要：导语：结束一个进程的方法通常有：exit(), ExitProcess, TerminateProcess. 通常一个进程在正常情况下结束的话，系统会调用 ExitProcess函数结束进程，但有时候想强行杀掉一个进程的话就必须调用TerminateProcess函数了，TerminateProce 阅读全文

posted @ 2018-10-08 17:43 priarieNew 阅读(1674) 评论(0) 推荐(0) 编辑

window API GetProcessId OpenProcess

摘要：函数原型：阅读全文

posted @ 2018-10-08 17:42 priarieNew 阅读(1670) 评论(0) 推荐(0) 编辑

Windowns API 第24篇 WTSEnumerateSessions 枚举session信息

摘要：函数原型： BOOL WTSEnumerateSessions( HANDLE hServer, DWORD Reserved, DWORD Version, ... 阅读全文

posted @ 2018-10-08 17:31 priarieNew 阅读(1586) 评论(0) 推荐(0) 编辑

Windows API 23 篇 WTSQuerySessionInformation

摘要：函数原型：BOOLWINAPIWTSQuerySessionInformationW( IN HANDLE hServer, IN DWORD SessionId, IN WTS_INFO_CLASS WTSInfoClass, __deref_out_bcount(*pBytesReturned) 阅读全文

posted @ 2018-10-08 17:29 priarieNew 阅读(1302) 评论(0) 推荐(0) 编辑

windows API 第22篇 WTSGetActiveConsoleSessionId

摘要：函数原型：DWORD WTSGetActiveConsoleSessionId (VOID)先看一下原文介绍： The WTSGetActiveConsoleSessionId function retrieves the Terminal Services session currently at 阅读全文

posted @ 2018-10-08 17:28 priarieNew 阅读(4669) 评论(0) 推荐(0) 编辑

获取当前活动窗口后(前景窗口)可以做好多事情

摘要：相关函数：//获取当前活动窗口HWND GetForegroundWindow(VOID);//获取窗口名int GetWindowText( HWND hWnd, // handle to window or control LPTSTR lpString, // text buffer int 阅读全文

posted @ 2018-10-08 17:17 priarieNew 阅读(2117) 评论(0) 推荐(0) 编辑

Windows API 第21篇 DeleteVolumeMountPoint 删除挂载点

摘要：函数原型：BOOL DeleteVolumeMountPoint( LPCTSTR lpszVolumeMountPoint // volume mount point path );参数：lpszVolumeMountPoint ：挂载点路径，必须以反斜杠'\'结尾。 Remarks It is 阅读全文

posted @ 2018-10-08 17:09 priarieNew 阅读(1130) 评论(0) 推荐(0) 编辑

Windows API 第20篇 SetVolumeMountPoint 设置卷挂载点参数错误

摘要：函数原型：BOOL SetVolumeMountPoint( IN LPCTSTR lpszVolumeMountPoint, // mount point IN LPCTSTR lpszVolumeName // volume to be mounted );参数：lpszVolumeMountP 阅读全文

posted @ 2018-10-08 17:07 priarieNew 阅读(1686) 评论(0) 推荐(0) 编辑

Windows API 第20篇 GetVolumeNameForVolumeMountPoint

摘要：函数原型：BOOL GetVolumeNameForVolumeMountPoint( IN LPCTSTR lpszVolumeMountPoint, // volume mount point or directory OUT LPTSTR lpszVolumeName, // volume n 阅读全文

posted @ 2018-10-08 17:06 priarieNew 阅读(1423) 评论(0) 推荐(0) 编辑

Windows API 第19篇 FindFirstVolumeMountPoint FindNextVolumeMountPoint

摘要：相关函数:HANDLE FindFirstVolumeMountPoint( LPTSTR lpszRootPathName, // volume name LPTSTR lpszVolumeMountPoint, // output buffer DWORD cchBufferLength // 阅读全文

posted @ 2018-10-08 17:02 priarieNew 阅读(810) 评论(0) 推荐(0) 编辑

windows API 第 18篇 FindFirstVolume FindNextVolume

摘要：函数定义：Retrieves the name of a volume on a computer. FindFirstVolume is used to begin scanning the volumes of a computer. 我的输出结果是这样的：分析：可见这些也代表着卷标的唯一标阅读全文

posted @ 2018-10-08 16:55 priarieNew 阅读(829) 评论(0) 推荐(0) 编辑

Windows API 第17篇 GetLogicalDriveStrings 获取本机所有逻辑驱动器,以根目录的形式表示

摘要：函数原型:DWORD GetLogicalDriveStrings( DWORD nBufferLength, // size of buffer LPTSTR lpBuffer // drive strings buffer );说明:参数不多讲,需要注意函数返回存入lpBuffer空间的字符个数阅读全文

posted @ 2018-10-08 16:51 priarieNew 阅读(760) 评论(0) 推荐(0) 编辑