kingswb-CSDN博客

转载 Win7(WinDbg) + VMware(Win7) 双机调试环境搭建之三

前言有同事要用IDA7.0调试windows驱动，我帮做个实验。主要是配置调试环境，环境搞好了，就靠IDA了:) 配置环境的过程细节比较细碎，记录一下。实验要调试驱动，要用windbg来进行双机调试，IDA调试驱动用的是windbg. IDA官方给出了用IDA调试内核程序的pdf, 找到了2篇，虽然不是针对IDA7.0写的，但是一样管用。备份了一份在csdn(debugging...

2019-01-23 21:50:14 787

转载 IDA&&BOCHS调试MBR

一、说明IDA都很熟悉，强大的逆向工具。Bochs是一个x86硬件平台的开源模拟器。它可以模拟各种硬件的配置。Bochs模拟的是整个PC平台，包括I/O设备、内存和BIOS。更为有趣的是，甚至可以不使用PC硬件来运行Bochs。对于调试操作系统是灰常强大的。说白了就是一个虚拟机。二、IDA调试MBRIDA调试MBR比较简单，先配置下虚拟机的VMX文件，添加一下代码：[A...

2019-01-23 20:43:18 1774

近喜欢用IDA搞一些内核的东西，于是就到处找IDA关于内核方面的东东。这篇文章实在原文的基础上进行了一定的封装，也算是半原创的东东吧～希望大家不要拍砖撒～VMWare的GDB调试器功能比较简单也比较基础，该调试器并不知道处理器和线程的任何信息（对于Windows系统），因而如果想要得到一些高等级的信息，我们需要自己做一些额外的工作。本文主要讲解了如何使用IDAPython脚本来让IDA处理已经加...

2019-01-23 20:33:20 1415

转载 windows内核情景分析--内存管理（精细分析系统物理内存使用）

32位系统中有4GB的虚拟地址空间　　每个进程有一个地址空间，共4GB，(具体分为低2GB的用户地址空间+高2GB的内核地址空间)　　各个进程的用户地址空间不同，属于各进程专有，内核地址空间部分则几乎完全相同　　虚拟地址如0x11111111, 看似这8个数字是一个整体，其实是由三部分组成的，是一个三维地址，将这个32位的值拆开，高10位表示二级页表号，中间10位表示二级页表中的页号，...

2019-01-20 13:24:59 929

转载 Intel VT入门

运行环境操作系统: windows XP CPU : intel i3-390M 状态: 单核运行驱动没有卸载部分,测试前请先保存好文档.在 boot.ini 文件中添加 /numproc=1,重启传说中的VT貌似很神秘的样子,关于VT入门的资料又很少,于是研究了一番由于资源有限,自身水平亦有限,并且是闭门造车之作,如有错误的地方请指正,不胜感激!关于VT可以先参考海风月影写的关于V...

2019-01-19 12:57:51 1921 1

转载利用Intel VT实现进程保护

    Intel VT即Intel公司的Virtualization Technology虚拟化技术, 在硬件级别上完成计算机的虚拟化。为实现硬件虚拟化 ,VT增加了12条新的 VMX指令。VT可以让一个CPU工作起来像多个CPU在并行运行，从而使得在一部电脑内同时运行多个操作系统成为可能。在安全领域，...

2019-01-19 12:27:26 2527 1

转载关于Win7 x64下过TP保护(应用层)

关于Win7 x64下过TP保护(应用层)（转）调试对象：DXF调试工具：CE、OD、PCHunter、Windbg调试先言：TP的应用层保护做得比较多，包括对调试器的检测，比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层：1、TP让调试器卡死(内核互动) 如图，TP会检测调试器让调试器暂停运行，实际上就是暂停了调试器所有的线程而已。这个保护是今年7月份新出的，所以我这里重点...

2018-04-02 21:57:10 3751 3

转载 [Qt笔记]设置VS2015下的应用工程图标

[Qt笔记]设置VS2015下的应用工程图标一、在项目文件夹里创建名为*.rc的文件，如 app.rc二、文件中写入 IDI_ICON1 ICON DISCARDABLE "res/LauncherIco.ico"。LauncherIco.ico 为应用程序图标。三、将 LauncherIco.ico 拷贝到应用程序中的资源目录中并添加到项目中图1：四、在解

2017-07-17 12:19:05 398

转载进程的枚举

1、利用ToolHelp API首先创建一个系统快照，然后通过对系统快照的访问完成进程的枚举。获取系统快照使用CreateToolhelp32Snapshot() 函数函数原型声明如下：HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWOR

2017-05-02 21:34:07 644

转载 C++Win764x下做掉PatchGuard教程

C++Win764x下做掉PatchGuard教程C++于R3层干掉PG.我已经搞定很久了但是一直也没有发出来. 因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制道理我都懂,没图你说个J8?上图在开始之前,有几点是必须说的第

2017-03-22 20:51:53 8358

转载 64位windows系统的PatchGuard

作者: carlcarl时间: 2012-03-26,17:35:21链接: http://bbs.pediy.com/showthread.php?t=148451【说明】1. 本文是意译，加之本人英文水平有限、windows底层技术属菜鸟级别，本文与原文存在一定误差，请多包涵。2. 由于内容较多，从word拷贝过来排版就乱了。故你也可以下载附件。3. 如

2017-03-22 19:57:35 7772

转载 VS2010配置MASM完成汇编代码编译

场景:1. 虽然使用MASM32也可以编译运行汇编程序,但是既然装了VS2010,它也能支持编译运行汇编吧.不然微软的开发人员难道还不用vs写汇编程序了？http://www.masm32.com/2. x64程序是大势所趋,win32(只能支持4G内存)逐渐退出舞台了,所以x64编译汇编也是必然要知道的.win32项目步骤:1.建一个空项目

2017-03-20 07:40:54 1881

转载第五章：VS中使用X64汇编

需要注意的是，在X86项目中，可以使用__asm{}来嵌入汇编代码，但是在X64项目中，再也不能使用__asm{}来编写嵌入式汇编程序了，必须使用专门的.asm汇编文件来编写相应的汇编代码，然后在其它地方来调用这些汇编代码。那么，如何在VS中使用X64的汇编呢？本例子将演示如何在汇编文件中使用.c或者.cpp源文件中定义的函数和变量，以及如何在.c或者.cpp中使用汇编文件中定义的函数。

2017-03-20 07:39:28 4389 1

转载从0开始学模拟挂(二)--找血内存基址方法(二)

基本原理就是：以下红色部分代表：无论哪次进入游戏都不会变的量一级基址( )二级基址( ) = 一级基址的数值() + 偏移1()血内存地址() = 二级基址的数值() + 偏移2()更一般点应该是这样：其中一级基址和所有的偏移，对于一个游戏而言是固定的。一级基址( )二级基址( ) = 一级基

2016-10-04 07:29:18 10384

转载内核模式下的字符串操作

1）ASCII字符串和宽字符串在应用程序中使用两种字符：a) char型字符串，负责记录ANSI字符集，它是指向一个char数组的指针，每个char型变量大小是一个字节，字符串是以0标志字符串结束的；b) wchar_t型的宽字符串，负责描述unicode字符集，它是指向一个wchar_t数组的指针，wchar_t字符大小为两个字节，字符串以0标志字符串结束。例

2016-08-31 21:37:31 383

转载使用 Native API 创建进程

使用 Native API 创建进程最近几个星期一直在研究这个题目。因为关于方面的资料比较多（可以看下面的参考文章），所以开始时以为很快就结束了。谁知道真正动起手来才发现有很多要考虑的地方，不过还好今天终于成功了，还是很高兴的。写下来，做个小结吧。（纸上得来终觉浅 , 须知此事要躬行。）我们一般是使用 CreateProcess 来创建进程的，而使用 Native API 来创

2016-07-10 20:39:15 1710

转载第一节 PE文件格式

第一节 PE文件格式 PE教程1: PE文件格式一览考虑到早期写的PE教程1是自己所有教程中最糟糕的一篇，此番决心彻底重写一篇以飨读者。PE的意思就是 Portable Executable（可移植的执行体）。它是Win32环境自身所带的执行体文件格式。它的一些特性继承自Unix的Coff (common object file format)文件格式。"p

2016-07-04 22:01:43 865

转载遍历系统的所有ObjectType和TypeIndex

遍历系统的所有ObjectType和TypeIndexWindows内部有很多的对象类型，比如PROCESS类型，THREAD类型，FILE类型，LPC PORT类型，DEVICE类型等等，我们可以使用sysinternal提供的winobj工具来查看（win7 x86 sp1）在编程的过程中我们有时候需要用到类型的索引（TypeIndex），由于在不同的操作系统版本中

2016-06-22 21:05:05 2953

转载获取操作系统版本的几种方法

当我们的应用程序或者驱动程序需要根据操作系统的版本来选择执行不同的代码的时候，我们应该知道这部分的内容。这篇文章花费了我好一段时间，在附件里有三份代码分别代表了三种不同的方法。这些内容都是前人的成果，鄙人纯属老生常谈。废话少说，我们进入主题。用户模式下的方法：方法1：利用Win32 API可以很容易的确定所安装的操作系统的版本。我们可以使用Ge

2016-06-20 21:47:07 2516

转载关于内核定时器,DPC,线程的使用

[cpp] view plain copy关于内核定时器，及DPC的使用，看来一些代码，这个估计是比较规范的用法了，很基础，希望对新手有帮助注意，这里的定时器不太精确！ [cpp] view plain copy#include typedef struct _DEVICE_EXTENSION {

2016-06-19 22:17:07 2618

转载 Tp已经pass Only win7 32下面讲解方法

作者: 小烦时间: 2013-08-07,16:46:07链接: http://bbs.pediy.com/showthread.php?t=176806TP技术难点：1.双机调试2.TesSafe自身模块硬断检测和自身CRC检测3.DebugOjbetType权值清零4.DebugPort清零1解决了 2放弃 3Pass 4Pass a

2016-06-19 16:02:18 2410

转载某P保护之调戏权限清0的学习。

废话不多说啦，直接开干。我们先来看看ValidAccessMask的值。通过NtCreateDebugObject来定位。uf NtCreateDebugObject地址为fffff800`04011f40第一个地址就是_object_type的地址我们想得到的ValidAccessMask存在TypeInfo中，偏移为0x40由上图可以看出Val

2016-06-19 09:06:58 1591

转载模仿腾讯实现内核进程的调试端口DebugPort 清零

最近学习驱动，昨天刚配置了下windebug调试器，下载了论坛的驱动教程，很不错，适合入门。看了几个老郁的教程，随便把驱动环境搭建好了。在公司xp sp3的系统上测试了成功，OD下断点失效或报错。---------------------------------------------------------------------------------------现在刚回家，家里

2016-06-19 08:44:50 1436

转载 HOOK - 过保护 DebugPort 清零相关

一个程序被ring3调试器调试时，有很多的调试特征可以检测，本论坛也有专门的帖子详细论述，但有个非常根本的标志ring3也是可以检测的比较少人提及，那就是_EPROCESS.DebugPort。DebugPort对于ring3调试器来说非常重要，没有它正常的ring3调试是无法进行的。当然要检测这个标志的前提是程序能够读取ring0内存，在XP以上的系统有个非常简单的方法就是使用ZwSystemD

2016-06-18 11:26:38 1947

转载 IAT随便HOOK+反检测方法

防IAT检测方法：IAT在指定目标文件的PE结构里面指定了的，我们把自己内存里面做了修改，没有修改目标文件，只要不让目标文件被其他文件映射，读取PE结构和我们内存中修改过的比较，保证能反一切IAT检测。用法：Code: HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile); HookImage(

2016-06-15 22:27:38 3955

转载对抗debugport清零的另一种方法

这篇文章大家还是别看了，有几处代码错误，因为是用notepad++写的，而且没有造成显式的错误，所以我起先也没发现，后来在看雪上贴了段时间，我又把代码几处错误改了，然后再次调试，到前几天为止，基本确认思路存在问题了……至于为什么，讲起来很麻烦的说不过貌似因为这篇帖子，看雪给了我枚邀请码，很开心哈……因为这是我在看雪发的第一篇帖子嘛，而且，还是个半成品前几天晚上看intel手册突

2016-06-15 08:13:53 2746

转载对付DNF硬件断点的NtGetContextThread的写法

初始化部分 //NtGetContextThread(对付硬件断点) // HookAddr_NtGetContextThread = FindHookNtGetContextThread(); // dprintf("[ByPassTp] HookAddr_NtGetContextThread = %08X\r\n",HookAddr_NtGetContextThread); /

2016-06-15 08:12:02 1762

转载规避网络游戏的外挂检测机制

规避网络游戏的外挂检测机制译注：这是一篇发表在rootkit.com上的讨论怎么规避warden检测机制的文章，原文在这里。作者Darawk是D2的黑客。之前，暴雪通过Module32First/Module32Next对D2 1.11中的外挂进行了第一次打击，很多使用外挂的玩家尤其是netter's EasyMap的玩家损失惨重。黑客们开始思考Anti-warden的问题，这篇文章就是一些这

2016-06-15 08:11:00 11338 1

转载 0.ring0-更改dbgport地址偏移过掉dbgport清0

正方案：把 EPROCESS->DebugPort = NULL清零，这样调试器就无法接受到消息了，也就无法调试了反方案：以下的操作都可以写成一个script来操作.debugport和哪些函数相关1.首先打开一个calc.exe：[cpp] view plain copykd> !process 0 0 c

2016-06-11 08:52:14 1016

转载 WinDbg-如何抓取dump文件

这要分两种情况：第一种情况：如果是Vista或者是Windows2008操作系统就是一个简单的事情，在任务管理器中，切换到"进程"选项卡，右键点击你想要创建dump文件的进程，然后选择"Create Dump File"即可。如果你想要创建dump文件的进程是w3wp.exe，可能会看到有很多w3wp,但不知道哪一个是你要要抓的网站，可以通过下需的命令查看，对于vista或win2

2016-06-11 08:45:43 786

转载围观tp驱动保护。详解debugport清0

标题: 围观tp驱动保护。详解debugport清0作者: 诶一时间: 2012-08-25,22:15:56链接: http://bbs.pediy.com/showthread.php?t=155139刚毕业，找工作的时候郁闷中，还没找到理想的工作，刚好回到家又没什么事情，就研究下tp保护，闲闲散散的也搞了2个星期了。索性弄好了也就发篇文章了，求个精华阿，第一个精华

2016-06-11 08:16:38 2690

转载汇编程序员之代码风格指南

Style Guidelines for Assembly Language Programmers汇编程序员之代码风格指南作者：Randall Hyde http://webster.cs.ucr.edu/译者：jhkdiy http://jhkdiy.icpcn.com or http://www.20cn.net e-mail:jhkdiy_gzb

2016-06-07 20:07:34 2889

转载过 DNF TP 驱动保护（二）

06. 干掉 NtReadVirtualMemory 中的 InLine Hook：前面已经干掉了 TP 对 NtOpenProcess 以及 TP 对 NtOpenThread 所做的 Hook，这样的话，我们已经可以使用 OD 或者 CE 看到 DNF 的游戏进程了，弄过一些游戏方面内容的朋友应该都

2016-06-02 18:59:34 8518 1

转载过 DNF TP 驱动保护（一）

01. 博文简介：02. 环境及工具准备：03. 分析 TP 所做的保护：04. 干掉 NtOpenProcess 中的 Deep InLine Hook：05. 干掉 NtOpenThread 中的 Deep InLine Hook：06. 干掉 NtReadVirtualMemory 中的 InLine Hook：07. 干掉 NtWriteVi

2016-06-02 18:58:31 15606 2

转载用户权限设置和进程权限提升

使用某些Windows API的时候需要提升进程的默认权限，例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下，我们需要使用到一组Windows API提升进程权限。需要的函数有：1.OpenProcessToken2.LookupPrivilegeValue3.AdjustTokenPrivileges使用

2016-05-29 22:11:26 1724

转载枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开

枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开2013-09-03 01:41 472人阅读评论(0) 收藏举报标题: 枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开作者: Y4ng时间: 2012-09-06 19:50:32 星期四链接: http:

2016-05-25 22:26:41 2634

转载 TX游戏多开分析

标题: 【原创】TX游戏多开分析作者: 毁灭时间: 2013-04-08,15:06:23链接: http://bbs.pediy.com/showthread.php?t=167848作者：TianyQQ：304400230花了10多天研究过XX的多开研究分析出一些东西可是也被卡住了遇到瓶颈搞的郁闷了把我分析到的东西和大家分享一下吧大家都

2016-05-23 22:52:51 1680

转载拦截进程创建（不会卡死桌面）

标题: 【原创】拦截进程创建（不会卡死桌面）作者: bycon时间: 2011-01-28,16:44:32链接: http://bbs.pediy.com/showthread.php?t=128733菜鸟作品，大牛请无视。如有错误或纰漏，望指出之前看过很多关于进程创建的拦截，都是勾在NtCreateProcess或者NtCreateSection上，拦截到

2016-05-23 20:57:58 1262

转载 windbg调试命令

转：http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html#调试命令窗口+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++#重要说明(1) windbg命令分为标准命令，元命令和扩展命令。标准命令提供

2016-05-22 19:28:09 342

转载在WinDBG中查看函数的反汇编代码的命令

命令==========u .u $ip上面的两个命令是效果是一样的, 反汇编当前$ip地址上的8条命令. uf .uf $ip上面两个命令的效果是一样的, 反汇编当前$ip地址上的整个函数. ub .ub $ip反汇编$ip之前的8条指令. ub $ip L2a反汇编$ip

2016-05-22 18:36:52 1515

空空如也

VS2013+QT5.80静态编译出错