2013年2月6日
winXP下的磁盘相关知识点
摘要: 1.win7和xp读写磁盘都会经过\driver\atapi,但是win8就到了\driver\storahci。win7比Xp多出来一个ataport.sys,但是这个驱动在\driver目录下找不到对应项。看文档里发现似乎是对应为\driver\ahci,或者可以尝试找找是不是和Win8的同名\driver\stortahci2.待续 阅读全文
posted @ 2013-02-06 09:31 ywledoc 阅读(162) 评论(0) 推荐(0) 编辑
2013年1月17日
网站收集
摘要: 国外网络军火商:http://www.vupen.com/blog/各种大牛:http://www.corelan.be/index.php/微软官方漏洞公布网址:http://technet.microsoft.com/en-us/security/bulletin/国外win漏洞大牛,其友链也很精彩:http://j00ru.vexillium.org/php code hacking,通过看PHP源码(注意是PHP的C语言代码,不是那些个CMS)来找漏洞:http://www.80vul.com/pch/ 阅读全文
posted @ 2013-01-17 11:49 ywledoc 阅读(214) 评论(0) 推荐(0) 编辑
2012年12月27日
QQ主题活动
摘要: 运气好。。捡到QQ几个洞。现在又发现SendMessage给别的Hwnd。有可能某些程序没处理好一些消息内容。。确实是出现了崩溃。似乎是4号消息Explorer.exe QQ.exe .....CVE-2013-0008也是这么个错误。网上似乎没有分析文档出来 阅读全文
posted @ 2012-12-27 21:57 ywledoc 阅读(176) 评论(0) 推荐(0) 编辑
2012年12月10日
day_log 12月份的
摘要: 12.10_IO_STACK_LOCATION的UCHAR MajorFunction;UCHAR MinorFunction;UCHAR Flags;UCHAR Control;字段作用MajorFunction:该字段定义了一个函数功能集,内核模式驱动可以实现其中的每一个函数。每一个函数由一个函数代码对应当内核模式驱动接收到一个IRP时,驱动首先检查当前StackLocation中的MajorFunction字段,得出驱动将要执行的功能,可能的MajorFunction功能代码如下:#define IRP_MJ_CREATE 0x00#define IRP_MJ_CREATE_NAMED_ 阅读全文
posted @ 2012-12-10 22:15 ywledoc 阅读(173) 评论(0) 推荐(0) 编辑
迅雷和QQ播放器
摘要: 迅雷看看:4.9.1.1169畸形flv然后就死了,无法再播放任何别的文件。QQPlayer:3.5.876.400畸形flv,不假死,应该是个bug。一直在解析。播放器不会调,找不到漏洞成因。。吐槽一句,1000管家的驱动写的。。。 阅读全文
posted @ 2012-12-10 20:09 ywledoc 阅读(155) 评论(0) 推荐(0) 编辑
2012年12月3日
再挑软柿子
摘要: 文件名:QQBattleZone.exe版本:0.10.4.22设置中的游戏参数,这一输入没判断长度,溢出。这个参数保存在QBGames.ini 阅读全文
posted @ 2012-12-03 17:49 ywledoc 阅读(112) 评论(0) 推荐(0) 编辑
心情BSOD
摘要: 心情不好~然后就发挥了下贱人曾的精神,柿子还得挑软的捏。。捏了捏。。驱动精灵。。版本:8.72.0.0无任何保护,甚至没有SEHBSOD。。 阅读全文
posted @ 2012-12-03 17:20 ywledoc 阅读(93) 评论(0) 推荐(0) 编辑
2012年12月2日
day_log 11月份的
摘要: 11.11.PostMessage加入消息队列是FIFO解决了PostMessage发送删除Item问题2.modal窗体不会阻塞程序的消息循环,wndproc是单线程解决了可能一边AddItem,一边DeleteItem的问题3.tagLVITEMAtagLVITEMA里的lParam可以用来绑定一些数据。pcshare就是用这个关联11.51.debug使用2.wcsstr和_wcsicmp在hook NtQueryDirectoryFile不同的效果11.6http://www.codeproject.com/Articles/325603/Injection-into-a-Proces 阅读全文
posted @ 2012-12-02 12:55 ywledoc 阅读(172) 评论(0) 推荐(0) 编辑
day_log 10月份的
摘要: 10.15verifier验证驱动c:\windows\system32\verifier.exeZeroAccesssection_objectsegmentcontrol_areahttp://bbs.pediy.com/showthread.php?t=141124int 2d资料http://www.openrce.org/reference_library/anti_reversing_view/34/INT%202D%20Debugger%20Detection/10.161...这里下断可以跟进com的代码DispCallFunc接口一般定义如下interface IDispat 阅读全文
posted @ 2012-12-02 12:52 ywledoc 阅读(206) 评论(0) 推荐(0) 编辑
2012年11月29日
各模型关闭套接字时机
摘要: 1.selectreadfds集合有下列事件发生时,会被标识:数据可读;连接已经关闭、重启或者中断;如果listen已经调用,并且有一个连接未决,accept可以成功。select函数会返回,有多少个socket发生了事件。要关闭一个套接字时,判断select返回>0,然后recv套接字,出错,就代表这个socket可以closesocket了。2.WSAAsyncSelectint WSAAsyncSelect( SOCKET s, HWND hWnd, unsigned int wMsg, long lEvent);第四个参数lEvent,可以设置FD_CLOSE当有socket被. 阅读全文
posted @ 2012-11-29 15:18 ywledoc 阅读(246) 评论(0) 推荐(0) 编辑