摘要: 转载自http://blog.csdn.net/yushiqiang1688/article/details/5209597 最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。 首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建 阅读全文
posted @ 2017-04-12 14:35 SenberHu 阅读(2730) 评论(0) 推荐(0) 编辑
摘要: 导出函数: 出现在导出表EAT里面的函数,可以供外部调用的函数。 使用LordPE查看,或者使用GetProcAddress或者MmGetSystemRoutineAddress之类的函数获取地址,能获取到就是导出函数。 非导出函数: 仅供自己调用,可以根据函数的特征码来搜索,即硬编码(NeRead 阅读全文
posted @ 2017-04-06 11:03 SenberHu 阅读(1606) 评论(0) 推荐(0) 编辑
摘要: 1.VOID DragAcceptFiles( HWND hWnd, BOOL fAccept); 这个函数的调用,表示你要让某个窗体能够接受文件的拖入。第一个参数指定是哪个窗口,第二个参数指定为true表示接受,否则表示不接受。 2.UINT DragQueryFile( HDROP hDrop, 阅读全文
posted @ 2017-03-15 20:33 SenberHu 阅读(1618) 评论(0) 推荐(0) 编辑
摘要: 1 #include 2 #include 3 #include "resource.h" 4 5 6 7 BOOL CALLBACK DlgProc(HWND hDlg, UINT message, WPARAM wParam, LPARAM lParam); 8 9 //Pe文件处理函数声明 10 11 BOOL IsPeFile(LPVOI... 阅读全文
posted @ 2017-03-14 19:19 SenberHu 阅读(473) 评论(0) 推荐(0) 编辑
摘要: 1 #include "stdafx.h" 2 #include 3 #include 4 #include 5 using namespace std; 6 7 #define CTL_KEINJECTAPC \ 8 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x830, METHOD_BUFFERED, FILE_ANY_AC... 阅读全文
posted @ 2017-03-14 18:52 SenberHu 阅读(893) 评论(0) 推荐(0) 编辑
摘要: 1 // APCInject.cpp : 定义控制台应用程序的入口点。 2 // 3 4 #include "stdafx.h" 5 #include "APCInject.h" 6 7 #include 8 #include 9 10 #include 11 #include 12 13 14 15 #define _WIN... 阅读全文
posted @ 2017-03-14 18:51 SenberHu 阅读(289) 评论(0) 推荐(0) 编辑
摘要: 转载自 OllyDBG入门教程 PS:自己逆在 最后的时候总会崩,不知道为什么。 我们输入用户名 CCDebuger,序列号 78787878,点上面那个“Check”按钮,呵, 没反应!看来是要注册码正确才有动静。现在关掉这个 crackme,用 PEiD 查一下壳,原来是 MASM32 / TA 阅读全文
posted @ 2017-03-13 23:31 SenberHu 阅读(391) 评论(0) 推荐(0) 编辑
摘要: 转载自:OllyDbg入门教程 现在进入第三篇,这一篇我们重点讲解怎样使用 OllyDBG 中的函数参考(即名称参考)功能。仍然选择 crackmes.cjb.net 镜像打包中的一个名称为 CrackHead 的crackme。老规矩,先运行一下这个程序看看: 呵,竟然没找到输入注册码的地方!别急 阅读全文
posted @ 2017-03-06 22:08 SenberHu 阅读(737) 评论(0) 推荐(0) 编辑
摘要: 转载自:OllyDbg入门教程 我们先来运行一下这个 crackme(用 PEiD 检测显示是 Delphi 编的),界面如图: 这个 crackme 已经把用户名和注册码都输好了,省得我们动手^_^。我们在那个“Register now !”按钮上点击一下,将会跳出一个对话框: 好了,今天我们就从 阅读全文
posted @ 2017-03-06 22:05 SenberHu 阅读(987) 评论(0) 推荐(0) 编辑
摘要: 参考:0Day 安全 所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址 1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。 2,线程环境快偏移位置为0x30的地方存放着 阅读全文
posted @ 2017-03-06 21:27 SenberHu 阅读(568) 评论(0) 推荐(0) 编辑