摘要： /*************************************************************************************** * AUTHOR : yifi * DATE : 2016-1-20 * MODULE : EnumKernelModules.H * * IOCTRL Sample Driver * * Description: ... 阅读全文

摘要： // SoftWareManagerDlg.cpp : 实现文件 // #include "stdafx.h" #include "SoftWareManager.h" #include "SoftWareManagerDlg.h" #include "afxdialogex.h" #include "MyList5.h" #ifdef _DEBUG #define new DEBUG_NEW... 阅读全文

摘要： //////////////leo/////////// ///////IE information/////// bool SoftInfo(SOCKET s,WSAEVENT hEvent) { SOFTINFO softinfo; DWORD retLen; HKEY m_key,m_key2; char m_SubKey[255]="SOFTWA... 阅读全文

摘要： #ifndef USE_H_ #define USE_H_ #include #include #include using namespace std; //字符类型 wchar_t char //获取字符长度 wcslen() strlen() //连接两个字符串 wcscat() strcat() //复制字符... 阅读全文

摘要： USN是Update Service Number Journal or Change Journal的英文缩写，直译为“更新序列号”，是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时，建立NTFS 5.0的同时，加入了一些新功能和改进了旧版本的文件系统，为它 阅读全文

摘要： void CAAADlg::OnSysrise() { // TODO: 在此添加命令处理程序代码 ::ShowWindow(m_hWnd, SW_HIDE); // 2. 获取当前程序路径 WCHAR szApplication[MAX_PATH] = { 0 }; DWORD cchLength = _countof(szApplication); ... 阅读全文

摘要： //****************************************************************************************/ //获取DNS #include "DNS.h" //全局变量 PDNSADDRANDURL global_pwsadata; NTSTATUS DriverEntry( PDRIVER_OBJ... 阅读全文

摘要： /*************************************************************************************** * AUTHOR : yifi * DATE : 2016-10-8 * MODULE : ObjectDir.C * * Command: * Source of IOCTRL Sample Driver... 阅读全文

摘要： // PE注入.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #pragma comment (lib, "winmm.lib") #pragma comment (lib, "kernel32.lib") /*获取进程ID号*/ DWORD GetP... 阅读全文

摘要： #include "x64Inject.h" HANDLE WINAPI ThreadProc(PTHREAD_DATA data) { data->fnRtlInitUnicodeString(&data->UnicodeString,data->DllName); data->fnLdrLoadDll(data->DllPath,data->Flags,&data->Un... 阅读全文

摘要： Windows中的2种类型的APC： 用户模式 APC执行在用户模式下的线程的上下文中，必须得到线程的允许才能得到执行 同时用户APC还需要目标进程处在Alertable等待状态才能被成功的调度执行 在内核模式中 可以执行KeWaitForSingleObject.....，在用户模式下可以调用SleepEx..... 当用户APC 投递到线程中 调用上面函数 执行条件满足时去执行... 阅读全文

摘要： // Inject.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "Inject.h" #ifdef _DEBUG #define new DEBUG_NEW #endif // 唯一的应用程序对象 CWinApp theApp; using namespace std; int main() { int nRet... 阅读全文

摘要： HHOOKWINAPISetWindowsHookExW( __in int idHook, //HookType __in HOOKPROC lpfn, //HOOkProcedure 钩子程序 __in_opt HINSTANCE hmod, // __in DWORD dwThreadId); 阅读全文

摘要： BOOL EnableDebugPri64() { typedef long (__fastcall *pfnRtlAdjustPrivilege64)(ULONG,ULONG,ULONG,PVOID); pfnRtlAdjustPrivilege64 RtlAdjustPrivilege; DWORD dwRetVal = 0;... 阅读全文

摘要： //读取操作系统的名称 void CPCHunterDlg::GetSystemName(CString& osname) { SYSTEM_INFO info; //用SYSTEM_INFO结构判断64位AMD处理器 GetSystemInfo(&info); //调用GetSystemInfo函数填充结构 OSVERSIONINFOEX os;... 阅读全文

摘要： 需要管理员权限 阅读全文

摘要： 在内核中 进程是靠EPROCESS来识别的 dt _EPROCESS fffffa801aaecb30 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER 0x1d298d... 阅读全文

摘要： 参考链接：http://www.cnblogs.com/HsinTsao/p/6399459.html 自己感觉这个方法不行 阅读全文

摘要： Github上看到的一个Demo:https://github.com/cetfor/AntiDBG 检测一个Demo是否被调试 无非就是从四个方面进行入手: 内存 通过查询窗口、父进程、PEB、DbgPort等标志位检测 CPU 通过CTX标志位进行判断 时间 通过比较时间确定是否被调试 异常　各 阅读全文