trxdy - 博客园

2014年3月13日

摘要： FILETIME, SYSTEMTIME 与 time_t 相互转换2009-08-24 15:37:14|分类：默认分类|举报|字号订阅//************************************************************//FILETIME, SYSTEMTIME 与 time_t 相互转换//#####SYSTEMTIME 与 FILETIME相互转换#####//可以使用系统函数//FileTimeToSystemTime(&ftcreate,&stcreate);//参数：//(lpFileTime As FILETIME, lp 阅读全文

posted @ 2014-03-13 18:23 trxdy 阅读(1421) 评论(0) 推荐(0) 编辑

2013年10月21日

对线程间SendMessage的解疑

摘要：上面说过线程内SendMessage只是简单的调用指定窗口的窗口过程。而线程间SendMessage时，发送线程不可能直接调用目标窗口的窗口过程，因为发送线程无法运行在接收线程的地址空间中。因此实际过程是发送线程挂起，然后由另外的线程处理消息。过程是：首先发送的消息被追加到接收线程的发送消息队列中（send-message queue），并设置线程的QS_SENDMESSAGE标志。这个队列跟邮递消息队列（post-message queue，即之前所谓的消息队列）是并列的，之间没有关系。另外还有一个应答消息队列（reply-message queue），这在后面会用到。之后，如果接收线程已经阅读全文

posted @ 2013-10-21 19:51 trxdy 阅读(2103) 评论(0) 推荐(0) 编辑

2013年7月25日

vs2008编译boost

摘要： vs2008编译boost【一、Boost库的介绍】Boost库是一个经过千锤百炼、可移植、提供源代码的C++库，作为标准库的后备，是C++标准化进程的发动机之一。Boost库由C++标准委员会库工作组成员发起，其中有些内容有望成为下一代C++标准库内容。在C++社区中影响甚大，其成员已近2000人。Boost库为我们带来了最新、最酷、最实用的技术，是不折不扣的“准”标准库。Boost库中比较有名的几个库：（1）Regex，正则表达式库；（2）Spirit，LL parser framework，用C++代码直接表达EBNF；（3）Graph，图组件和算法；（4）Lambda，在调用的地方定义阅读全文

posted @ 2013-07-25 16:02 trxdy 阅读(331) 评论(0) 推荐(0) 编辑

2012年4月17日

R0和R3下得到当前用户的SID

摘要： R0下需要attach到一个用户进程，取其SIDNTSTATUSGetUserName(char* a )/*++参数:a - [IN] [OUT] 得到current user的注册表内容形式如下"\\REGISTRY\\USER\\S-XXX-XXX..."功能:--*/{ NTSTATUS status = STATUS_SUCCESS;HANDLE hProcess;HANDLE TokenHandle;ULONG ReturnLength;ULONG size; UNICODE_STRING SidString; PTOKEN_USER TokenInformat 阅读全文

posted @ 2012-04-17 18:15 trxdy 阅读(491) 评论(0) 推荐(0) 编辑

2012年3月26日

PID,EPROCESS,HANDLE转换【转】

摘要： 1. 通过 pid 获取目标进程的 EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程，那么我们切换当前进程，方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获取目标路径，命令行，啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一步不需要)。2. 通过 pid 获取目标 EPROCESS。然后那，我们用 ObOpenObjectByPointer 函数，记得把 ObjectType置为 *PsProcessType (置空也行啦阅读全文

posted @ 2012-03-26 11:17 trxdy 阅读(1468) 评论(0) 推荐(0) 编辑

2012年3月16日

PSPCidTable枚举进程

摘要：目前网上流传的一些通过PSPCidTable的代码似乎有些问题，以下是我真实使用的一些代码，需要具体的可以向我索要：）针对XP动态的三层句柄表实现，2000就是固定的三层了，不多说了。说明一下，PspCidTable仍然不能突破FUTO的限制，不过本人写的一个简单的测试代码是通过EPROCESS 的这个偏移就可以试实现：int OFFSET_MMSUPPORT_WORKINGSETEXPANSIONLINKS;//+0x024 WorkingSetExpansionLinks : _LIST_ENTRY [ 0x898d323c - 0x89850834 ]这个是获取最底层的代码，二三... 阅读全文

posted @ 2012-03-16 18:12 trxdy 阅读(338) 评论(0) 推荐(0) 编辑

2012年3月14日

修改注册表项权限

摘要： DWORD GetNamedSecurityInfo(LPTSTRpObjectName,// object nameSE_OBJECT_TYPEObjectType, // object typeSECURITY_INFORMATIONSecurityInfo,// 消息类型PSID*ppsidOwner,// 所有者的SIDPSID*ppsidGroup,// 以前的组 SIDPACL*ppDacl,// DACLPACL*ppSacl,// SACLPSECURITY_DESCRIPTOR*ppSecurityDescriptor// SD);#include <windows.h 阅读全文

posted @ 2012-03-14 14:28 trxdy 阅读(283) 评论(0) 推荐(0) 编辑

公告