摘要:
除了 读设备和 写设备 外 还可以有一个API DeviceIoControl 操作设备 创建一个IRP_MJ_DEVICE_CONTROL 类型的IRPDeviceIoControlhDevice Long,设备句柄dwIoControlCode Long,应用程序调用驱动程序的控制命令,就是IO... 阅读全文
摘要:
有源码 修改IP指向本机建立本地服务器除了中文 文档 其他复制进 服务器目录编译创建账号默认账号密码 admin修改到期时间 随便写机器码客户端 登陆成功抓包 并没有抓包回环地址 127.0.0.1 不会经过网卡一般抓包工具抓取网卡信息 所以没有信息这里用封包助手 通过HOOK手段抓取包的jia... 阅读全文
摘要:
首先 既不设置 DO_DIRECT_IO / DO_BUFFER_IO派遣函数直接读写应用程序提供的缓冲区地址。 直接操应用程序的缓冲区地址是很危险的只有驱动程序与应用程序运行再相同线程上下文的时候,才能用这种方式探测可读可写用: ProbeForWrite + try 块NTSTATUS H... 阅读全文
摘要:
VC下编写驱动时使用__try __except时的错误解决办法:unresolved external symbol __except_handler4 referenced in function在驱动代码中添加__try__except代码时,在VC或VS2008或VS2010时,会出现错误提... 阅读全文
摘要:
直接方式读写设备,操作系统会将用户模式下的缓冲区锁住。然后操作系统将这段缓冲区在内核模式地址再次映射一遍这样 ,用户模式的缓冲区和内核模式的缓冲区指向的是同一区域的物理内存。在创建完设备对象后,在设置设备对象的时候,设置为 DO_DIRECT_IO 而不是DO_BUFFERED //创建设备 sta... 阅读全文
摘要:
符号 \??\HelloDDK -》\\.\\??\HelloDDK ->\\.\HelloDDK -> C语言字符串 \\\\.\\HelloDDKHANDLE hDevice = CreateFile("\\\\.\\HelloDDK", GENERIC_READ | GEN... 阅读全文
摘要:
一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!OD载入后,CTRL+B,816C24 确定后,就会来到下图... 阅读全文
摘要:
拦截窗口:bp CreateWindow 创建窗口bp CreateWindowEx(A) 创建窗口bp ShowWindow 显示窗口bp UpdateWindow 更新窗口bp GetWindowText(A) 获取窗口文本拦截消息框:bp MessageBox(A) 创建消息框bp Messa... 阅读全文
摘要:
无源码 分析 -》 黑盒分析飘零 3.2VIP客户端心跳包 很多 大小为1 的包 防止程序强制关闭封包内容 大概为:p=xxxxxxxxxxxxxxxxxxxx&pzdm=xxxxxxxxxx&post=xxxxxxxxxxxx这个大概就是飘零验证了搜索字符串···不能整除与零不能求余数与... 阅读全文
摘要:
这个程序加了 SE2.1.6.0WriteProcess 下断补丁进程结束外挂正常 本没有断下 没有调用这个函数不是所有的补丁都会调用这个函数的1)看有没有DLL加载有些作者 会把DLL 释放到系统文件夹中加载可以监视器去监视生成的文件还可以去查看 模块:没有登录 时 模块信息 -》 拷贝 整个... 阅读全文
摘要:
要求把名字固定住运行 会出现一个EXE 修改这个文件名 就可以固定住它的用户名要进去游戏查看!!!!!!!!!!!!!!!!!!开启外挂 提示过期······································ 阅读全文
摘要:
视频笔记:如果提示 天数使用限制可以修改时间 去破掉这个 限制 但是1 发包到服务器2 服务器传回时间 动态3 判断接受到的包,弹框多久到期,取本地时间验证4 又一层验证,取的不是本机的时间,取时间的方式与3不一样修改时间 往前改本地欺骗 可以用于 固态的 包检查下断 MessageBoxA ... 阅读全文
摘要:
看视频后记录:分析协议:HOST GET -> HTTP协议搜字符串 显示了很多字符串 没有关键字符串必须要有一个账号:yizhiyu6xiao369 不能用 账号被锁定抓包分析修改/找回密码123123456账号被锁定fuckyou问题:fuckyou答案:haozi123456猜对了抓包 ... 阅读全文
摘要:
//////////////////////////////////////////////////////////////////////////////创建或打开某注册表项目:#define MY_REG_SOFTWARE_KEY_NAME L"\\Registry\\Machine\\So... 阅读全文
摘要:
#include "stdafx.h"#include int main(int argc, char* argv[]){#define PATCH_ADDRESS 0x00408EC2 char szFileName[] = "5Star.exe"; BOOL flag = TRUE; BYTE ... 阅读全文
摘要:
首先你把你的 VMware 虚拟机里面的操作系统调到最快的状态(关闭不必要的程序、自动更新等)然后关闭虚拟机;打开 VMware 虚拟机的配置文件,这是一个后缀为 vmx 的文本文件。在里面加入以下内容isolation.tools.getPtrLocation.disable = "TRUE"is... 阅读全文
摘要:
kerberos 监视 API操作修复IAT时 如果 是004000新方法: 对指定IAT 假的地址 下硬件写入断点重来 ctil+f2 F8到 出现函数的地址(或者函数名 )softdefender 反APIkerberos监视 生成文件 在CreateProcess 之前的函数 断下C... 阅读全文
摘要:
首先 当编译驱动时发生错误:LINK : warning LNK4044: unrecognized option '/pdbtype:sept'; ignoredCreating browse info file...BSCMAKE: error BK1510 : corrupt .SBR fi... 阅读全文
摘要:
代码: KdPrint(("ANSI:\n")); CHAR *string = "Hello"; KdPrint(("%s\n",string)); WCHAR *string2 = L"Hello2"; KdPrint(("%S\n",string2)); ANSI_STRING ansis... 阅读全文
摘要:
重要的 一般用得到的:$RESULT //返回值cmp $VERSION, "1.47"ja ``````#INC "脚本名"#LOG //开始记录运行指令ADD 目的,源add [401000],5 //[4010000]+5add x,16.50add y,"times"alloc //... 阅读全文
摘要:
http://blog.csdn.net/killalarm/article/details/6066577DELPHI 程序中 代码段 有 搜索 runtime 上面 对齐就是数据段 起始地重建PE:LOADPE 清空 目录图中下面显示的TLS表信息:00452000-45300000452... 阅读全文
摘要:
一般 VC VB 没有重定位表:DELPHI有重定位VirtualAlloc 申请区段 去重定位VirtualProtect 阅读全文
摘要:
【文章标题】: Obsidium V1.3.0.4【文章作者】:【下载地址】: 自己搜索下载【加壳方式】: Obsidium 1.3.0.4 -> Obsidium Software [Overlay]【编写语言】: VC6.0【使用工具】: 一蓑烟雨OllyDbg等等【作者声明】: 只是感兴趣,没... 阅读全文
摘要:
操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。S.E.H即异常处理结构... 阅读全文
摘要:
我知道原理了:当int remove(){node->blink->flink = node->flink;//这个是flink \x88\x06\x36\x00 这个是blink //\x20\xf0\xfd\x7f"; //将系统RtlEnterCritucalSection 的 flin... 阅读全文
摘要:
最重要的对标有两种:1 空表 freelist 128条可看 溢出利用chunk重设大小攻击堆Freelist[0] 指向 ”尾块“ HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3... 阅读全文
摘要:
修改HOSTS文件:c:\windows\system32\driver\etc\HOSTS目的IP 需要跳转的网站比如: 百度-》谷歌74.125.128.103 www.baidu.com 阅读全文
摘要:
1.过 滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP2.过滤端 口例子:tcp.port eq 80 // 不... 阅读全文
摘要:
DWORD dwEAX = 0; DWORD dwEBX = 0; DWORD dwECX = 0; DWORD dwEDX = 0; // 获取CPUID0 _asm { mov eax, 0 cpuid mov dwEAX, eax mov dwEBX, ebx mov dwECX,... 阅读全文
摘要:
cmd运行 osk .exe 就有屏幕键盘了最简单在网上 传个木马 让对方下载下来 阅读全文
摘要:
硬编码 HOOK API这里实现 显示的 “失败” 换成 “成功了啊?”77D507EA >- E9 733F6B88 jmp MyCrackM.00404762//这里是MessageBoxA 00404762是 exe程序领空的一个地址77D507EF 833D BC14D777 0... 阅读全文
摘要:
XT 软件 去暂停程序 OD 挂接 让主线程运行 其他线程暂停这样就停掉了壳程序反挂接代码: 外壳代码HWND hwnd = ::FindWindowA(NULL,"Delphi 5.0"); DWORD PID; DEBUG_EVENT debug_event = {0}; GetWindo... 阅读全文
摘要:
全称是pseudo-code,就是伪代码的意思,在VB编译中,有两种编译方式,一种是Native-Code(本地代码),另一种就是p-code。p-code的整个代码直接交给CPU处理,由MSVBVM6.0.DLL来翻译。OD 对它不是很支持 静态分析\WKTVBDE 去动态分析 注意这... 阅读全文
摘要:
这学期小菜就是一名大三学生了 ,大学一半就这样过去了。自我感觉自己学到的东西还是太少了,比较其他的同学还是差的很多,虽然我比别人花的时间更多,但是收效却不知道好。可能是学习习惯,学习态度还不够好吧。感觉学到的东西很快就忘了,经常在虚拟机里写代码,一还原就没有。没有之后心里一阵反胃,每次都想大哭一场,... 阅读全文
摘要:
H头文件:#pragma once //只要在头文件的最开始加入这条杂注, //就能够保证头文件只被编译一次#ifdef __cplusplusextern "C"{#endif#include #ifdef __cplusplus}#endif#define PAGECODE code_se... 阅读全文
摘要:
分析:00401650 /. 55 push ebp00401651 |. 8BEC mov ebp,esp00401653 |. 83E4 F8 and esp,0xFFFFFFF800401656 |. 81EC 9C00000... 阅读全文
摘要:
主要用 ICE 才可以 对于大量有算法的程序可以用这种方法```````````````转载: http://bbs.pediy.com/showthread.php?t=67866&highlight=OLLYDBG这个会消耗 大量资源 注意 点一般流程:1 下按钮断点2 断下后 CTRL +... 阅读全文
摘要:
这个KEYGENME 有点简单 但是写注册机有点难度 要求写出随机的注册码大体流程:00401000 >/$ 6A 00 push 0x0 ; /Style = MB_OK|MB_APPLMODAL00401002 ... 阅读全文
摘要:
0040116B |. 68 6C804000 push CrackMe2.0040806C ; ASCII "%s"00401170 |. E8 DB000000 call CrackMe2.0040125000401175 |. 68 5... 阅读全文
摘要:
可以用这个工具查看 驱动运行负荷 如果内核模式运行时间陡然上升 则说明驱动程序消耗了大量的内核资源windows 2000 通过 int 2ehwinodws XP 通过 sysenter 进入内核模式Native API 通过 软件中断方式进入到内核模式 并调用内核的系统服务执行... 阅读全文