随笔分类 - Windows应用
摘要:最近一段时间,事越来越多,要做的事情越来越多,需要的工具越来越多, 好多工具都要自己写,所以我又把我以前写的一个脚本工具弄出来了, 一个小的脚本工具,能做几乎所有事情,(就是有些简单有些麻烦而以), 打开之后,界面是这样的 这个脚本工具是基于lua 脚本的,因为我感觉lua更简单,小巧,便捷, 虽然
阅读全文
摘要:今天接到一个问题,说Kernel32 模块的 GetVersionEx 获取系统版本不准确, 然后让我查查什么原因, 我当时就想,它不准,就用ntdll的 RtlGetVersion 阿,或者 RtlGetNtVersionNumbers,这不都行么, 那就看看为什么会出现 kernel32 的函数
阅读全文
摘要:最近遇到了一个恶意软件,劫持主页,其实也不算劫持吧,技术也不算多高明, 下面整套分析流程全部在IDA内部做,没有作一丁点调试。 不是我不会调试,只不过我感觉,这玩艺挺简单的,还要上手来调试,有点失身份,有点大材小用。 注册minifilter实现目录隐藏 准备目标进程列表 准备三个回调,真正干活的
阅读全文
摘要:今天正在扒360 的一个模块, 扒呗,无聊的时候,就看到这么个东西, 给我留了这么多调试信息, 然后呢,那就看看这些东西都是输出什么的呗, 压了个调试信息,入栈,然后call 了过去,之后平衡堆栈,擦,这不是明显的 变参函数的玩法, 调试信息输出函数里面是空的, 我擦,这不是掩耳盗铃么, 360的代
阅读全文
摘要:注意红框里面,这么写真的就有那么好么,多难看阿,突然冒出来一块,改一下 把它放到后面,明显就好看多了,心情都好了。 这日子过得。
阅读全文
摘要:我有这么一段代码,我使用的是VS2010IDE,直接编译Release模式,开O2,谁能猜到编译器怎么给我编的 先猜猜看,猜不到的往下看 1 ; __int64 Initialize(void) 2 ?Initialize@@YAHXZ proc near ; CODE XREF: DllMain+
阅读全文
摘要:这命令超级牛B ,用途是算内存所在屋里地址 !vtop 命令可以有两个参数,第一个参数是CR3 寄存器的值,第二个参数是要查询的虚拟地址是多少,比如 这样使用。 然后 WinDBG会自动计算物理地址,并且写出计算过程,如下 一目了然。
阅读全文
摘要:不算新的东西,也都不小了, VEH的结构处理,平行于SEH,但是略有区别, 相关函数有四个 第一个函数 用来向VEH链注册一个异常处理函数, 参数1的意思是,是否插入到VEH链首部, 如果参数1为非0,则此注册的函数会在出现异常之后优先被触发(仅仅是优先,是否First还要看是否有其他人也注册了函数
阅读全文
摘要:其实很多时候,远程调试的话,我还是更喜欢用WinDBG的, 首先,可以练习WinDBG的使用手段, 其次,可以增加WinDBG的熟练度, 最重要的,WinDBG在内核调试部分很常用,我也很喜欢它,所以我也经常用, 但是用多了会发现有个问题,就是,WinDBG建立普通的调试环境太慢了, (不考虑dbg
阅读全文
摘要:https://github.com/odzhan/shellcode/blob/master/win/pi/createthread.h GitHub上一个可能是老外的工程, 挺老的技术了,我记得很久很久以前好像在什么地方看到过, 方法就是,在32位进程注入64位进程之前使用64位的代码来注入,这
阅读全文
摘要:内存屏障的出现: 为了保证内存可以被正确地,有序地使用而出现的一个机制。 由于一段代码在编译时可能会出现内存的使用顺序与预期不相同的情况,所以需要这样一个机制来保证内存的使用顺序或方法来符合程序员的预期。 导致出现这样问题的可能性有两种: 1:编译器编译时的优化,导致内存使用顺序不正确, 2:软件多
阅读全文
摘要:加载DLL 的时候断: sxe ld:[dll] 卸载DLL 的时候断: sxe ud:[dll] 比如: sxe ld:wininet.dll (在wininet.dll 被装载的时候断点) 这里DLL名字是支持通配符的 比如: sxe ld:wini*.dll 或者直接在DllMain下断: b
阅读全文
摘要:自己鼓捣的方法,累死我了。。。 遇到一个程序,这程序启动之后,会自动重新启动我的电脑, 我想调试它一下,但是遇到了问题, 如果我用调试器附加上去的话,电脑是不重起了,但是它启动了之后会立刻黑屏,全黑, 根据分析,实际上是有个全黑的窗口占到了最前,后面的窗口都不能显示出来, 然后这个黑色的窗口卡死,并
阅读全文
摘要:在公司Review系统网页上,写了一篇几百字的作文, 然后突然手一抖,竟然没有保存就切换页面了, 赶快退回来。。。没了,啥都没了。。。 怎么办。。。 还好洒家N久之前看了一本什么什么杂七杂八的书, 里面写着的,只要我页面不关,我写的东西,很大可能性还在浏览器进程里面, 这时候我要做的就是。。。Win
阅读全文
摘要:使用64 system32目录下的文件 LPVOID pVoid = NULL; BOOL bRet = Wow64DisableWow64FsRedirection(&pVoid); if (bRet == TRUE) { "C:\\Windows\\System32\\XXX.exe" Wow6
阅读全文
摘要:https://blogs.msdn.microsoft.com/alejacma/2007/10/31/cryptoapi-tracer-script/ 我得多少年才能学会这种写法。 实际上也没用多少年。 **********************************************
阅读全文
摘要:这两段代码,功能上没有任何区别,但是你喜欢哪种写法。 如果有缘人看到的话,可以给我留个言,但是一定要写下原因,咱们可以讨论一下。 我喜欢第二种写法。 原因,执行效率上,二者几乎没有任何区别, 但是前提是编译器没问题,而且FlagOn它必须是个宏,(事实上它确实是个宏,但是没有任何东西能保证一直或者说
阅读全文
摘要:在搞攻防对抗,哎。 去年外包方案还是很牛X的,今年不行了。 外包做了个关机修复的方案, 没有代码,只能编出来,然后看源码, 哎,原来是HOOK了主窗口过程,然后等section结束, 结束的时候,做修复的。 生活无奈啊。没啥技术含量。
阅读全文
摘要:总有那些想不到的函数。 waccess waccess_s 我去哪学这些去?
阅读全文
摘要:前言: 1 #if 0 2 3 其实,现在我要做的这件事情,是有个前提的, 4 有一天晚上,我和一个朋友讨论一个相关技术的问题, 5 (因为我也不是很懂,我不确定我的观点是正确的,所以才是讨论), 6 我们聊到了,Windows的映射机制, 7 我们模拟的场景是这样的: 8 (简单场景,x86环境下
阅读全文
