- 博客(19)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 分栏
1: 在 StdAfx.h中添加头文件#include // Xtreme Toolkit support2. 在资源文件中新建另外一个Dlg,并新建对应一个类CTestDlg2, 之前建立的对话框类为 CTestDlg1,准备工作完毕,目地是让CTestDlg1,CT
2011-07-21 13:30:11
747
原创 收集的Xtreme.Toolkit.Pro 编译简单教程
下面介绍一下Codejock.Xtreme.Toolkit.Pro的安装和编译。1.先下载Codejock.Xtreme.Toolkit.Pro2.安装:一路“下一步”,很简单3.安装完以后会出一个新的“codejock deployment wizard”窗口,这里你可以跟据需
2011-07-21 11:08:36
927
原创 驱动编写错误解决
情况描述: 使用VC6.0以及WDK 7600 编译驱动时,报错:fatal error C1189: #error : Compiler version not supported by Windows DDK。原 因: VC版本不支持WDK 7600。 #if _MSC_VER 解决方法: 使用WDK自带的BUILD工具编写,或者使用VS2005,VS2008等IDE。-------------------------------------------------------------
2011-05-09 13:34:00
1042
原创 跟我一起写 Makefile
<br />Makefile关系到整个工程的编译规则。<br /> <br />无论是C,C++,Pas,首先要把源文件编译成中间代码文件,在Windows下是.obj文件,UNIX下就是 .o。这个动作叫编译(Compile)。<br />再把这些大量的Object File合成执行文件,这个动作叫做链接(Link)。<br /> <br />编译时,编译器需要的是语法的正确,函数与变量的声明的正确。对于后者,通常是你需要告诉编译器头文件的所在位置(头文件中应该只是声明,而定义应该放在C/C++文件中),
2011-05-04 12:50:00
648
原创 VC6+WDK+DriverStudio编译Windows驱动程序环境搭建
<br /> 一、需要的软件及版本 <br /> Vc6 英文版;(随处都有) <br /> WDK3790.1830(1830_usa_ddk.iso的解压文件)或者2006.1106版本; <br /> (http://download.microsoft.com/download/9/0/f/90f01 9ac-8243-48d3-91cf-81fc4093ecfd/1830_usa_ddk.iso) <br /> DriverStudio3.2 。(随处都有) <br /> 二、安装说明
2011-05-04 11:18:00
1569
原创 VC6.0 +WDK 开发驱动的环境配置
<br /> 前段时间,系统偶感风寒,挂掉了,苦于又没有备份过,只有重装了。原来开发驱动的环境是VC6+DDK+DriverStudio3.2,当时配置的时候就花了好一阵功夫,也没有彻底搞清楚。现在要重装了,决定改用WDK来开发,但环境的配置又搞的我头疼,不太喜欢命令行方式的编译,还是想借助VC6来开发驱动。<br /> 在安装完VC6和WDK以后,就开始进行环境的配置了,可结果是弄了半个上午,还是搞不定。去网上找信息,关于WDK的,多是使用VS2005或VS2008的,有的要借助
2011-05-04 11:14:00
1078
1
转载 PEB,TEB初学.
<br /><br />TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$t
2010-08-21 22:35:00
6596
原创 函数之ExAllocatePool--内存分配
<br /> <br />如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式:<br /> <br /> PVOID p = ExAllocatePool(Pool_Type, Size);<br /> PVOID p = ExAllocatePoolWithTag(Pool_Type, Size, Tag);<br /> <br /
2010-08-19 10:05:00
804
原创 函数之ExAllocatePool--内存分配
<br /> <br />如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式:<br /> <br /> PVOID p = ExAllocatePool(Pool_Type, Size);<br /> PVOID p = ExAllocatePoolWithTag(Pool_Type, Size, Tag);<br /> <br /
2010-08-19 10:03:00
2266
原创 函数之ExAllocatePool--内存分配
<br /> <br />如同C里面的malloc一样,内核模式下的ExAllocatePool也是非常重要的.但是一说到ExAllocatePool函数就不得不提ExAllocatePoolWithTag函数.对比一下两个函数的调用方式:<br /> <br /> PVOID p = ExAllocatePool(Pool_Type, Size);<br /> PVOID p = ExAllocatePoolWithTag(Pool_Type, Size, Tag);<br /> <br /
2010-08-19 10:01:00
5095
转载 SSDT Hook的妙用-对抗ring0 inline hook
<br /><br />*******************************************************<br />*标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook *<br />*作者:堕落天才 *<br />*日期:2007年3月10号 *<br />*声明:本文章的目的仅为技术交流讨论
2010-08-08 19:55:00
868
转载 SSDT-hook,IDT-hook原理
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
2010-08-04 10:13:00
2493
原创 利用DLL劫持内存补丁技术注入
<br /> 当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分<br /><br />析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。<br /><br />由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会<br /><br />尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录查找,最后是在环境变<br /><br />量中列出的各个目录下查找。利用这个特点,先
2010-08-03 15:21:00
3914
转载 无DLL注入(函数直接注入)
<br /> 在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的<br /><br />LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标<br /><br />进程的地址空间,然后创建远程线程。<br /> 使用这个方法时,需要注意以下几个问题:<br /> (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各个进程的相对地址是一样的,如果一定要使
2010-08-03 15:18:00
5874
转载 注册表注入
<br /><br /> 在Windows NT/2000/XP/2003中,有一个注册表键值:<br />HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsHKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs。当某个进程加载User32.dll时,这里面列出的所有的DLL都将User32.dll利用LoadLibrary函数加载到该进程空间
2010-08-03 15:03:00
1663
转载 CreateProcess注入方法
采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入的DLL。下面进行介绍.原理如下:1. 用CreateProcess(CREATE_SUSPENDED)启动目标进程。2. 找到目标进程的入口,用ImageHlp中的函数可以实现。3. 将目标进程入口的代码保存起来。4. 在目标进程的入口写入LoadLibrary(MyDll)实现Dll的注入。5. 用ResumeThread运行目标进程。6. 目标进程就
2010-08-03 14:46:00
7489
转载 远程进程注入
<br />这几天一直在研究远程进程注入的问题,下面也是我个人学习心得写出来供大家参考指证,同时也有问题要请教大家.<br /> 终于写会了远程DLL的注入,远程DLL的注入其实是通过调用LoadLibrary函数来在远程进程中开启一个线程,因为LoadLibrary函数是在kernel32.dll里面,windows中每个进程在启动后都加裁了Kernel32.dll所以实现远程DLL注入很简单,它其实是调用的远程进程中kernel32.dll模块里面的函数,所以很好实现.虽然LoadLibrary函
2010-08-03 11:45:00
3423
1
转载 线程的远程注入
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/vcforever/archive/2005/03/15/320144.aspx在上一篇文章《线程的远程注入》中介绍了如何让其他的进程中执行自己的代码的一种方法及自己定义一个线程,在线程体中编写执行代码,然后使用VirtualAllocEx函数为线程体以及线程中用到的字符常量和调用的MessageBox入口函数地址,在目标进程中开辟存储区,然后再通过WriteProcessMemory函数,将这些数据写入目标进程的地址空间中。最
2010-08-03 11:43:00
799
转载 提升权限
<br /> <br />转载自 http://blog.sina.com.cn/s/blog_51e1db6b01009lcr.html<br />GetCurrentProcessID 得到当前进程的ID <br />OpenProcessToken 得到进程的令牌句柄<br />LookupPrivilegue 查询进程的权限<br />AdjustTokenPrivi
2010-08-03 11:40:00
702
BugTrap(dump工具)
2016-01-15
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人