- 博客(51)
- 资源 (3)
- 收藏
- 关注
RSS订阅
原创 EasyHook库系列使用教程之五全局ACL和本地ACL
EasyHook控制钩子函数通过两个ACL表控制全局ACL:针所有钩取的函数本地ACL:针对指定的钩取函数判断ACL是否能够访问的C++代码如下:if(ACLContains(&Unit.GlobalACL, CheckID)) { if(ACLContains(LocalACL, CheckID)) { if(Local
2014-10-29 18:40:56
5333
1
原创 EasyHook库系列使用教程之四钩子的启动与停止
此文的产生花费了大量时间对EasyHook进行深入了解同时参考了大量文档先来简单比较一下EasyHook与Detour钩取后程序流程Detours:钩取API函数后,产生两个地址,一个地址对应真Hook函数地址,一个对应真实API地址EasyHook:钩取API函数后,所有API指向同一地址,通过ACL控制是否跳转到真实API地址
2014-10-29 10:27:11
6008
原创 EasyHook库系列使用教程之三插入钩子示例
此篇介绍重点:通过一个实例来介绍如何API HOOK。实体准备:通过HookToolTest程序,将HookTool注入到记事本中,并钩取记事本的CreateFileA和CreateFileW函数。钩子函数的功能仅记录打开的文件。原代码下载地址,包括了整个EasyHook的代码和例子代码。http://download.csdn.net/detail/yuzeh
2014-01-21 12:51:46
7022
2
原创 内存映射失败MapViewOfFile 失败 返回 8
问题描述1在使用内存映射方式读写数据时,将文件A的内容拷贝至文件B中,偶尔会出来文件拷贝后的文件,内容为空,或部分为空问题分析1怀疑是内存映射方式读写数据的稳定性(可笑的怀疑,内存映射可以Windows内存管理的基础,基础都有问题的话还会有那么稳定吗?)最终结果1无解问题描述2经过几次软件功能上更新之后,仍然出现了
2013-07-22 15:23:40
7697
原创 桌面图标任意摆
核心实现思想,通过windows 消息机制,记录和修改桌面图标的位置。Win7验证通过。 欢迎转载使用。#ifndef __SETICONONDESTOP__#define __SETICONONDESTOP__class CSetIconOnDestop{public: CSetIconOnDestop(); ~CSetIconOnDestop(); typede
2012-03-18 02:13:39
1678
翻译 linux文件拷贝-sendfile
SENDFILE(2) Linux Programmer's Manual SENDFILE(2)NAME sendfile - transfer data between file descriptors 在两个文件描述符之间传输数据SYNOPSIS #include <sys/sendfile...
2020-04-11 22:56:02
532
原创 记一次内核模块导致系统问题
现象:安装内核模块之后,功能正常,但隔一段时间(时间不定)后,系统崩溃为了便于内核模块调试使用了自编内核,因此在gdb中收到了中收到下图的段错误:猜想:1)难道是因为自编内核导致的?2)根据中断的位置,难道是因为分配内存引起的?验证:1)对比试验了安装内核模块和不安装内核模块,在不安装内核模块的情况下始终末出现此问题,排除2)检查代码中分配内存发现问题...
2020-01-16 11:15:32
264
原创 关于X11无法获取窗口标题 WM_NAME _NET_WM_NAME
参考资料:https://www.x.org/releases/current/doc/libX11/libX11/libX11.html在X11时代窗口的标题属性通过WM_NAME属性存储,到了XCB时间窗口属性通过_NET_WM_NAME存储X11中提供了XGetTextProperty,XGetWMName,XFetchName等函数获取窗口的标题若在X11中获取XCB创建...
2019-11-20 19:20:19
1318
原创 关于gtk+中GdkAtom定义
GTK+3.0代码中,对GdkAtom有如下定义:解释:一种类型,描述XServer服务器的字符串表的索引在源代码中末搜索到任何_GdkAtom的定义,且此处使用typedef定义为GdkAtom为指针类型。X11代码中定义了,Atom类型:X11中Atom类型,实际为 unsigned long类型经实验得知,GtkAtom内存中的值为数字类型,因此,猜测...
2019-11-19 10:33:51
217
转载 【转载】【翻译】X11 剪贴板是如何工作的
转载地址:自带梯子https://www.uninformativ.de/blog/postings/2017-04-02/0/POSTING-en.htmlX11:“剪贴板”如何工作?如果您在切换到运行X11的东西之前使用过其他操作系统,您会注意到有多个剪贴板:有时,您可以使用鼠标选择一些文本,切换到另一个窗口,然后点击鼠标中键来粘贴文本。有时,您可以选择文本,然后点击一些热键,...
2019-09-04 16:40:35
1192
4
原创 VS2015+VMware(WIN7)+主机WIN10 驱动调试提速
参考https://www.cnblogs.com/sunylat/p/6217543.html这篇文章搭建的调试环境双击调试时非常慢原因:WIN7不支持NET模式调试,只能使用COM方式,受传输速率的限制,因此调试非常慢如何提速:方法一:虚拟机采用WIN10,使用NET模式连接方法二:VirtualKD参考(https://blog.csdn.net/lxc1014/art...
2019-05-09 15:28:16
454
原创 Visio中如何将图片复制为对象
问题描述:Visio向Powerpoint复制对象时,有时候是Visio对象,有时候是图片测试结论:如果Visio中插入了图片,在PowerPoint中粘贴的为图片,否则为Visio对象如何粘贴为对象呢?PowerPoint操作:Visio中复制操作不变,在PowerPoint中粘贴时,“选择性粘贴”->Visio对象...
2019-05-05 15:22:49
2918
原创 从双击至窗口最大化都发生了什么
在研究Duilib框架时的测试小例子,只需在OnSize下断点,并双击标题栏,即会在OnSize中命令断点,可分析调用流程,解释见后 //5、最后,响应了OnSize消息> DuiLib_d.dll!DuiLib::WindowImplBase::OnSize(unsigned int uMsg, unsigned int wParam, long lParam, int &...
2019-04-24 11:57:12
456
原创 HTML5获取文件夹路径之曲线救国
需求:1.需要在页面中,实现单击按钮,弹出选择目录对话框,选择目录后,在页面中显示路径环境:ChromeV42以上,此版本已经禁止了NPAPI,因此通过插件形式,无法调用NativeAPI注:HTML5只提供上传文件的对话框,不提供保存文件和选择目录的对话框解决方法:1.Chrome提供NativeMessage支持Chrome扩展和Native APP通过标准输...
2019-04-09 08:59:56
2030
原创 VISIO画异形窗口
比如,要用VISIO画下面这个多边形,VISIO没有提供这个的功图例 解决办法: 覆盖法做法很简单,用3个拼接,图1和图3拼接形成多边形,图2,用来遮挡边框,这样就可以完美解决多边形绘制问题了。 ...
2018-09-14 10:10:26
1008
原创 京东3元无门槛优惠券变京豆
在京东APP首页->领券中心->精选页面,每周签到 3次即可领取3元无门槛券接下来一波神操作可以让3元无门槛优惠券变成300个京豆,而京豆可以当钱花在购物时直接抵现操作方法:1.签到,签到,签到,每周签三次后,在周三,可领一张3元无门槛优惠券2.购物,买多件商品,3.退货,购物后立即退货,立即退货的订单不会发货4.看看优惠券的使用记录,会发现优惠券已经使用,且没...
2018-06-11 11:13:25
2707
原创 文件系统监控-余爱华-专题视频课程
使用API HOOK技术,实现在Windows操作系统下,记录指定APP打开的文件。课程使用大量工具。每2周出一次视频课程
2018-05-07 09:07:14
166
原创 巧用函数返回地址获取导出函数的直接调用模块
目的: 实现调用DLL中检测调用来源模块描述:开发三方接口时经常会遇到模块校验,常见做法有如下几种1. 在接口中开放参数,专门用于校验 2. 在接口DLL中校验调用模块本文主要介绍第2种的实现方法实现原理:假设有函数 Add(a+b);从C/C++角度看,貌似没有办法在Add函数中知道是谁调用了它.从汇编角度看,在Add函数调用流程如下;1. p
2018-04-19 10:29:54
1293
原创 Android引用第三方aar后,名称显示不正确
一般App会默认使用资源文件values/strings.xml,中设置的app_name字符当引入aar后,安卓会将app和aar中资源文件合并,当aar中指定了多国语言支持,而app中未指定多国语言支持时,当安卓手机设置了中文环境时,app名称的显示顺序如下:先搜索 values-zh 再搜索 values, 由于没有设置多语言,交优先使用values-zh中的资源,结果导致app名的称显示为...
2018-03-27 15:27:33
1422
原创 EF6框架源代码调试的那些坑
1.代码能够正常编译,运行报错,提示AppConfig 类型初始值设定项引发异常解决方法:1.去掉EF框架的签名2.去掉AppConfig中的 "PublicKeyToken=b77a5c561934e089" 这段, 估计这段时用来检验签名是否正确的
2017-06-20 15:45:30
1171
原创 ArcGIS中使用Bundle数据
条件: ArcGIS10.1Bundle数据如图所示使用方法:1.启动ArcMap2.File->Add data->Add Data3.选择至Layers层4.单击添加5.完成
2017-02-16 10:52:48
4186
1
原创 社会工程学解决VS2008升级VS2010问题 之一 Lnk2038
目的:公司要求将代码版本由VS2008升级至VS2010,遇到的坑编译器提示:>libcpmtd0.lib(xlock.obj) : error LNK2038: 检测到“_ITERATOR_DEBUG_LEVEL”的不匹配项: 值“0”不匹配值“2”编译选项中设置了,由于需要采用MTd方式编译并进行版本发布,因些以上设置为必须
2017-01-17 14:20:30
520
原创 关于Http中Transfer-Encoding: chunked问题
Http1.1中新增加内容, Transfer-Encoding: chunked 译为:分包传输 进行一次请求时,如果数据量较大,为了加快页面显示,而采取了分包的策略在.net中WebPag 默认不分包MVC4 默认分包一般简单的服务器交互流程比如,需要服务器返回一个字符串(test),不分包时传回内容为test分包情况下传回内容为4
2017-01-05 18:43:25
13980
转载 修改大神写的MyGetProcAddress支持64位
ULONG_PTR MyGetProcAddress( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // function name ) { int i=0; char *pRet = NULL; PIMAGE_DOS_HEADER pImageDosHeader = NUL
2016-11-17 23:41:29
2282
原创 关于Window7/8/10 兼容层与钩子系统兼容问题
Win7 以来,微软增加了安全性 ..... 此处省略一万字同时增加了一个叫兼容层的东西 , 简单来说,就是由一些钩子处理程序,目的是为了兼容老程序在新系统上运行.更简单的说法,WIN7 增加了些新东西,势必导致API的变化,有增加的,也有减少的,也有变化的,那么问题来了,对于API变化的,原来在XP上正常运行的程序,到WIN7上可能就用不了了,为了让操作系统有更好的兼容性,微软做了这个兼
2016-11-17 23:23:47
1125
原创 关于MFC单文档窗口菜单的疑问
MFC单文档的菜单在何时创建?解答:参见窗体创建API CreateWindowEx,中的参数有一项指向了HMENU,因此菜单加载必定与此API有关,下面来调试一个流程_tWinMain //程序入口AfxWinMain //同入口CtestApp::InitInstance //应用程序初始化ProcessShellCommand(cmdInfo) //初始时会执行FILE
2016-07-09 22:17:52
717
原创 WINdows小技巧
.net4 ,在XP上安装时,超级慢,原因可能是操作系统的自动更新在连网网络上提供了各种修改文件名称(SoftwareDistribution) ,修改注册表等办法,操作起来太过复杂小弟在网络上搜索时发现,这些修改无非是为了阻止windows的自动更新, 为何不直接拨掉网线呢. 说试就试,拨掉网络后, 1分钟左右,.net4.0安装完成
2016-06-22 18:00:50
282
原创 关于禁用数据库访问方法
通用做法,不过本机中的SQL2000并未通过网络传输1.将socket函数connect函数过滤2.将dbnetlib.dll中ConnectionOpen函数过滤Orcal3.将oci.dll中OCIEnvCreate/OCIEnvInit/OCIEnvNlsCreate函数过滤SQL 2005+.sqlncli.dll/sqlncli10.dll等,由于是COM组件,可
2016-01-28 16:43:20
667
原创 关于应用程序加壳后,IAT钩子失效问题的破解
IAT钩子主要使用的IAT表进行API HOOK加壳会使原有的导入表被加密,导致无法直接通过修改导入表来Hook API,如下图, 使用UPX加壳后,计事本程序,的很多项导入表不见了.此类软件加壳后将导至IAT钩子失效,导致无法完成相应的API HOOK解决方法一, 强行搜索进行空间,进行比对,发现是自己所要钩取的API地址进行替换(稳定性极差)解决方法二 , 看官
2016-01-22 15:44:52
1295
原创 关于Office系列软件的程序流程
本文的目的,明确Office系列软件的文件读取机制结论一.Offie2003时Office系统软件,读取文件,采用的是ReadFile和WriteFile,使用的底层库为Ole32.dll结论二.Windows为了提升文件读读写的效率,在WIN7中扩展了内存映射的支持,支持的方式为,先尝试使用内存映射读写文件,若内存映射失败,则采用直接读写文件结论三.Ole32.dll中只要内
2016-01-22 15:26:29
639
原创 文件透明加密,所处理的一些API
[XueTr][acad.exe-->Ring3Hook]: 287挂钩对象 挂钩位置 钩子类型 挂钩处当前值 挂钩处原始值[*]len(5) kernel32.dll->CloseHandle 0x7C809B7
2013-02-01 14:12:00
1327
原创 MFC窗口各部分宽度简界
MFC窗口组成通过Spy++获取的窗体大小是整个窗口的大小窗体分为客户区域和非客户区域非客户区域包括菜单栏,工具栏和状态栏整个窗口由外到内,由上到下各部分之间的大小边框大小 8pit 标题栏大小 22pit菜单栏大小 20pit工具栏大小 24pit客户区大小 Xxpit状态栏大小 19pit即非客户区大小
2013-01-03 21:07:56
784
原创 【原创】类的交叉使用。
交叉引用对象 A.hA.cppB.hB.cpp A中有B的指针,B中有A的指针 A.h中有B的指针,在A.h中加入B.h---A中即以在任意地方使用A或A中的函数 B.h若在加入A.h编译器将会报错。办法。在B.h中使用A的前置定义如: class A ---在B中将可以使用A的指针,但是不能使用A的函数,因此B中所用A的函数需要写在B.cpp中。
2012-08-29 15:34:42
480
原创 替换通过PE加载器加载的模块的导入表
PE加载器:将PE文件在内存中加载,此加载方式,进程的模块列表中无法查看到模块名。Procmon中监视,堆栈,堆栈中显示,汇编跟踪时也没有模块名。替换方法:找到模块所在的内存块,对内存块中的PE文件进行解析,定位到导入表处,再替换导入表。方法详见代码HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,true,m_Pid); char
2012-02-03 16:41:24
1108
原创 浅谈Windows窗体中显示出示
先上图,有图有真象,其效果有上图,当鼠标移动到按钮上是弹出一个提示。其实现方法为。在CXXXDlg.h文件中定义:public: CToolTipCtrl m_openToolTip; 在CXXXDlg.cpp的OnInitDialog()中初始化: m_openToolTip.Create(this); m_ope
2012-01-08 20:00:47
430
EasyHook教程系列源代码
2014-01-21
基于ACE的网络聊天程序
2012-07-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人