11 2013 档案
摘要:此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用...
阅读全文
摘要:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。 显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所...
阅读全文
摘要:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。 显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所...
阅读全文
摘要:最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有...
阅读全文
摘要:最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有...
阅读全文
摘要:windows可执行文件是什么?是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不...
阅读全文
摘要:windows可执行文件是什么?是具有PE文件格特性的文件,例如:.exe、dll、ocx等文件。注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不...
阅读全文
摘要:.创建进程的大体流程:创建进程的过程就是构建一个环境,这个环境包含了很多的机制(比如自我保护,与外界通信等等)。构建这个环境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数),内核态负责来构建这个环境,由于环境是由内核态构建的,因此他持有这个环境的控制...
阅读全文
摘要:.创建进程的大体流程:创建进程的过程就是构建一个环境,这个环境包含了很多的机制(比如自我保护,与外界通信等等)。构建这个环境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数),内核态负责来构建这个环境,由于环境是由内核态构建的,因此他持有这个环境的控制...
阅读全文
摘要:主机入侵防御系统(HostIntrusionPreventSystem,HIPS)是近几年出现并迅速发展的新兴产物,与传统意义的防火墙和杀毒软件不同,它并不具备特征码扫描和主动杀毒等功能,所以想用它来替换传统杀毒软件然后安枕无忧睡大觉的用户可以不必尝试了,主机入侵防御系统是不会区别正常程序和木马的,...
阅读全文
摘要:主机入侵防御系统(HostIntrusionPreventSystem,HIPS)是近几年出现并迅速发展的新兴产物,与传统意义的防火墙和杀毒软件不同,它并不具备特征码扫描和主动杀毒等功能,所以想用它来替换传统杀毒软件然后安枕无忧睡大觉的用户可以不必尝试了,主机入侵防御系统是不会区别正常程序和木马的,...
阅读全文
摘要:对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去...
阅读全文
摘要:对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去...
阅读全文
摘要:[cpp]view plaincopyprint?/*windows2003x86/x64window7x86windows2008R2x64测试通过*/#include#include"nt_help.h"DRIVER_INITIALIZEDriverEntry;typedefstruct_OBJ...
阅读全文
摘要:[cpp]view plaincopyprint?/*windows2003x86/x64window7x86windows2008R2x64测试通过*/#include#include"nt_help.h"DRIVER_INITIALIZEDriverEntry;typedefstruct_OBJ...
阅读全文
摘要:本程序使用了hde32反汇编引擎,所以性能更加稳定!#pragma once#include NTSYSAPINTSTATUSNTAPINtCreateSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN ...
阅读全文
摘要:本程序使用了hde32反汇编引擎,所以性能更加稳定!#pragma once#include NTSYSAPINTSTATUSNTAPINtCreateSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN ...
阅读全文
摘要:WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIB...
阅读全文
摘要:WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIB...
阅读全文
摘要:使用Native API创建进程最近几个星期一直在研究这个题目。因为关于方面的资料比较多(可以看下面的参考文章),所以开始时以为很快就结束了。谁知道真正动起手来才发现有很多要考虑的地方,不过还好今天终于成功了,还是很高兴的。写下来,做个小结吧。(纸上得来终觉浅,须知此事要躬行。)我们一般是使用Cre...
阅读全文
摘要:使用Native API创建进程最近几个星期一直在研究这个题目。因为关于方面的资料比较多(可以看下面的参考文章),所以开始时以为很快就结束了。谁知道真正动起手来才发现有很多要考虑的地方,不过还好今天终于成功了,还是很高兴的。写下来,做个小结吧。(纸上得来终觉浅,须知此事要躬行。)我们一般是使用Cre...
阅读全文
摘要:进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合,它本身没有任何运行的含义,只是一个静态实体。而进程则不同,它是程序在某个数据集上的执行,是一个动态实体。它因创建而产生,因调度而运行,因等待资源或事件而...
阅读全文
摘要:进程(Process)是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合,它本身没有任何运行的含义,只是一个静态实体。而进程则不同,它是程序在某个数据集上的执行,是一个动态实体。它因创建而产生,因调度而运行,因等待资源或事件而...
阅读全文
摘要:windows运行打开服务命令Java代码 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshut...
阅读全文
摘要:windows运行打开服务命令Java代码 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshut...
阅读全文
摘要:在DNS解析中,出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法 .由于公司网站空间更换了服务商。域名DNS也指向了新服务商提供的NS记录可是这边访问网站仍然是访问到了原来服务器上。NS记录已经生效了,可为什么域名还是指向...
阅读全文
摘要:在DNS解析中,出错提示:“Could not flush the DNS Resolver Cache: 执行期间,函数出了问题”的解决方法 .由于公司网站空间更换了服务商。域名DNS也指向了新服务商提供的NS记录可是这边访问网站仍然是访问到了原来服务器上。NS记录已经生效了,可为什么域名还是指向...
阅读全文
摘要:WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。 以ntdll!ZwCreateProcessEx为例: Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是Sha...
阅读全文
摘要:WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。 以ntdll!ZwCreateProcessEx为例: Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是Sha...
阅读全文
摘要:RasieException是SEH API,SEH != 进内核,RasieException并不必然导致用户态内核态切换。事实上这个API被调用以后会首先尝试在用户态进行处理,如果没有任何处理者可用,则直接调用ExitProcess退出进程,这个调用倒是要进内核。Raising an excep...
阅读全文
摘要:RasieException是SEH API,SEH != 进内核,RasieException并不必然导致用户态内核态切换。事实上这个API被调用以后会首先尝试在用户态进行处理,如果没有任何处理者可用,则直接调用ExitProcess退出进程,这个调用倒是要进内核。Raising an excep...
阅读全文
摘要:问题1:问:0 Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen# ChildEBP RetAddr Args to Child00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSyst...
阅读全文
摘要:问题1:问:0 Id: 15f4.e60 Suspend: 1 Teb: 7ffdf000 Unfrozen# ChildEBP RetAddr Args to Child00 0012fe80 77d693f3 00456cd8 0012feec 00456cf3 ntdll!KiFastSyst...
阅读全文
摘要:通过挂钩NtCreateSection监控可执行模块在Win32中,我们使用CreateFileMapping来创建映射文件对象,函数原型如下:HANDLE CreateFileMapping(HANDLE hFile,// handle to file to mapLPSECURITY_ATTRI...
阅读全文
摘要:通过挂钩NtCreateSection监控可执行模块在Win32中,我们使用CreateFileMapping来创建映射文件对象,函数原型如下:HANDLE CreateFileMapping(HANDLE hFile,// handle to file to mapLPSECURITY_ATTRI...
阅读全文
摘要:1.异常分类一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常...
阅读全文
摘要:1.异常分类一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常...
阅读全文
摘要:源码下载地址:http://download.csdn.net/detail/swanabin/6575541一、 简介 最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得...
阅读全文
摘要:前言:最近使用到了他人总结的一个基础类库。查看了下源码,发现String帮助类的一个辅助方法不是很严谨,重构之。1、原来程序的写法1234567891011121314publicstaticstringGetDomainName(stringurl){Regex reg = newRegex(@"...
阅读全文
摘要:前言:最近使用到了他人总结的一个基础类库。查看了下源码,发现String帮助类的一个辅助方法不是很严谨,重构之。1、原来程序的写法1234567891011121314publicstaticstringGetDomainName(stringurl){Regex reg = newRegex(@"...
阅读全文
摘要:如何清除本机DNS缓存 在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其 解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大,所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。一、...
阅读全文
摘要:如何清除本机DNS缓存 在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其 解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大,所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。一、...
阅读全文
摘要:要查看 DNS 缓存,请在命令提示符下键入 ipconfig /displaydns。 要从 DNS 缓存中删除该项,请在命令提示符下键入 ipconfig /flushdns。 ipconfig.exe调用了Dnsapi.dll中导出的DnsFlushResolverCache 函数,该函数没...
阅读全文
摘要:【赛迪网-IT技术报道】2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈, 12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”黑客所使用的方式就是DN...
阅读全文
摘要:【赛迪网-IT技术报道】2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈, 12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”黑客所使用的方式就是DN...
阅读全文
摘要:域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。一、DNS协议的相关数据结构01.DNS数据报:02.typedef structdns...
阅读全文
摘要:域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。一、DNS协议的相关数据结构01.DNS数据报:02.typedef structdns...
阅读全文
摘要:可以从很多地方看到,许多刚开始做站的朋友,对域名设置方面的知识原理一知半解,以至于为了某些测试需要,经常对域名解析大动干戈。今天改个A记录,明天又换个NS。又或者,在迁移域名,迁移网站的时候的时候由于一些错误的操作,导致本可避免的问题, 在不恰当的操作下就出现了问题。域名解析不像空间绑定IP那样,能...
阅读全文
摘要:可以从很多地方看到,许多刚开始做站的朋友,对域名设置方面的知识原理一知半解,以至于为了某些测试需要,经常对域名解析大动干戈。今天改个A记录,明天又换个NS。又或者,在迁移域名,迁移网站的时候的时候由于一些错误的操作,导致本可避免的问题, 在不恰当的操作下就出现了问题。域名解析不像空间绑定IP那样,能...
阅读全文
摘要:nslookup 域名 这是最常用最简单的用法,可以直接获得目标域名的IP地址和CNAME。 如下是A记录的返回情况 nslookup命令会采用先反向解释获得使用的DNS服务器的名称,上图中ns.guangzhou.gd.cn就是我使用的DNS服务器。后面三行,Name是目标域名的CNAME,Add...
阅读全文
摘要:nslookup 域名 这是最常用最简单的用法,可以直接获得目标域名的IP地址和CNAME。 如下是A记录的返回情况 nslookup命令会采用先反向解释获得使用的DNS服务器的名称,上图中ns.guangzhou.gd.cn就是我使用的DNS服务器。后面三行,Name是目标域名的CNAME,Add...
阅读全文
摘要:IPCONFIG: DNS cache操作 Windows会将解析到的DNS信息缓存,这个机制可以加速重复的域名访问。从DNS Server返回的DNS Response消息中带有"Time to Live"字段,表示在DNS Cache中缓存的秒数。ipconfig /displaydns 命令会...
阅读全文
摘要:IPCONFIG: DNS cache操作 Windows会将解析到的DNS信息缓存,这个机制可以加速重复的域名访问。从DNS Server返回的DNS Response消息中带有"Time to Live"字段,表示在DNS Cache中缓存的秒数。ipconfig /displaydns 命令会...
阅读全文
摘要:PING:ping是一个所有操作系统都支持的简单工具。我么可以利用ping来解析DNS 的A record和PTRrecord.A记录是将域名映射到IP地址,这个是ping的缺省功能, ping同样支持PRT记录查询,即是DNS反向查找。 PRT记录是将IP地址解析为对应的DNS域名,可以通过带-a...
阅读全文
摘要:WDK/DDK中掉 error C2220: warning treated as error - no ‘object’ file generated2009-04-01 15:54网上搜索而来,保存其实就是关掉编译选项的问题…网上提得最多的就是修改 WDKPATH/i386.inc文件中的MSC...
阅读全文
摘要:WDK/DDK中掉 error C2220: warning treated as error - no ‘object’ file generated2009-04-01 15:54网上搜索而来,保存其实就是关掉编译选项的问题…网上提得最多的就是修改 WDKPATH/i386.inc文件中的MSC...
阅读全文
浙公网安备 33010602011771号