摘要:
静态基址 静态基址是指程序中实现定义好的数据(全局数据或局部数据),这种地址在程序每一次加载时都是唯一的不会变化(不考虑ALSR,如果存在ALSR则静态地址相对于程序基地址的偏移不会变)。 动态基址 动态基址是指程序中通过new或者malloc从堆中申请返回的地址,这种地址在程序每一次加载时都可能会 阅读全文
摘要:
RtlInitUnicodeString void RtlInitUnicodeString( [in, out] PUNICODE_STRING DestinationString, [in, optional] PCWSTR SourceString ); 使用此函数可以利用一个宽字符串初始化一 阅读全文
摘要:
应用层与应用层之间进行同步 我们可以利用EVENT事件内核对象进行同步。 //通过创建命名的事件内核对象(名称前会默认加"Local\\") //Process1 HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, TEXT("EventName")); 阅读全文
摘要:
kernel32!OpenFile与ntdll!NtOpenFile kernel32!OpenFile并不是直接调用的ntdll!NtOpenFile,其调用的是ntdll!NtCreateFile。 ntdll!NtOpenFile ntdll!NtOpenFile函数并没有声明,如果要调用的话 阅读全文
摘要:
内核句柄和用户句柄 内核句柄的值有KERNEL_HANDLE_MASK标识(小于0),用户句柄的值没有KERNEL_HANDLE_MASK(大于0)。 ObReferenceObjectByHandle 当句柄值不含有KERNEL_HANDLE_MASK标志时(用户句柄) 当句柄值为-1或-2时 当 阅读全文
摘要:
Duilib Duilib的绘图是基于xml + UI渲染绘图引擎 + Win32实现的。 Duilib消息处理与MFC消息处理比较 Duilib的窗口都是基于CWindowWnd类建立的,调用CWindowWndCreate()函数创建窗口,此函数会调用CWindowWndRegisterWind 阅读全文
摘要:
MFC是对Windows API的封装,其在底层也将windows API的消息处理给封装了。 MFC利用HOOK对消息的处理进行了拦截 如果我们不设置窗口的窗口处理过程,那么窗口产生的消息默认都会给DefWindowProc()函数处理。我们在MFC中利用Cwnd的Create函数创建窗口时都没有 阅读全文
摘要:
# 示例 ``` class test1 { public: virtual void proc1(); void proc(); }; class test2:public test1 { public: virtual void proc1(); }; void test1::proc1() { 阅读全文
摘要:
首先从Github上下载soui2项目 Github地址:https://github.com/soui2/souis 运行build.bat创建vs解决方案 build.bat中的一些设置都是对soui中项目的属性的设置。可以直接通过直接将低版本的解决方案.sln文件改成对应高版本的文件。 用vs 阅读全文
摘要:
指令碎片化 在Inline Hook时一般在需要HOOK的函数头部写入jmp指令,然后jmp指令跳转到Detour函数中。但是因为inline hook函数的头部代码形式多样,写入jmp指令需要5个字节,但是有可能修改5个字节后会出现指令碎屑。这样如果执行完Detour函数后接着hook后的代码执行 阅读全文