摘要:
要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lpThreadAttributes, SI... 阅读全文
摘要:
调试程序调试到系统库函数的代码时,总会发现系统函数都是从一条MOV EDI, EDI指令开始的,紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编,可以发现它的每个导出函数都是如此,并且每个导出函数开始处的MOV EDI, EDI上面紧接着5条NOP指令。... 阅读全文
摘要:
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2; //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途... 阅读全文
摘要:
空程序:int main(){00411360pushebp;压入ebp00411361movebp,esp;ebp = esp,保留esp,待函数调用完再恢复,因为函数调用中肯定会用到esp.00411363subesp,0C0h ;esp-=0C0h(192);为该函数留出临时存储区;将其他指针... 阅读全文
摘要:
WinDBG提供了多种设断点的命令:bp命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以bp MyApp!SomeFunction。 对于后者,WinDBG 会自动找到MyApp!SomeFunction对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变... 阅读全文
摘要:
bu可以针对符号下断点.这里是用bu下延迟断点的意义在于即使目标驱动没有被加载,windbg也允许我们针对符号设置断点.当新加载驱动程序后,windbg就会检查驱动程序中是否包含了设置了延迟断点的函数.如果找到了,就把断点替换为地址形式,然后再设置断点kd> bu Sys!DriverEntry 阅读全文
摘要:
SSDTHOOK的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。lkd>ddKeServiceDescriptorTable8055ab80804e3d20000000000000011c804d9f488055ab900000000000000000... 阅读全文
摘要:
转自VC错误:http://www.vcerror.com/?p=72问题描述:完成后编译,发现有错误D:\WinDDK\7600.16385.1\bin\makefile.new(7117) : fatal error U1087: cannot have : and :: dependents ... 阅读全文
摘要:
究竟是什么让一枚虚拟货币的汇率在3年间翻了25000倍,是什么力量让央行副行长“感兴趣”但“不承认”,抛开投机与商业欺诈比特币作为一种工具究竟有没有价值?欢迎收看今天的走进“伪”科学——用普通人也能理解的话解释比特币。比特币大热,北京时间上周六下午五点多,比特币网络刚刚成交了有史以来最大的一笔交易—... 阅读全文
摘要:
github 地址:如何免费获得比特币?以下是正文:免费获取比特币的站点Zillat中文比特币社交网站,基于 ThinkSNS 开发。目前网站处于推广期,里面有各种任务:发微博、写评论、每日签到等。完成这些任务可以获得奖励。既然是比特币社区,奖励的形式当然就是比特币。欢乐95★★★★★最轻松的 BT... 阅读全文