Sublime Text2.0.2破解
作者:admin 日期:2013-07-24
cdecl和stdcall调用约定的汇编代码对比
作者:admin 日期:2011-04-08
windbg命令详解
作者:admin 日期:2011-02-17
DLL
该扩展仅在内核模式下使用,即使它是在Ext.dll中的。
|
Windows NT 4.0 |
Ext.dll |
|
Windows 2000 |
Ext.dll |
|
Windows XP和之后 |
Ext.dll |
注释
如果不提供参数,调试器会列出所有进程,以及时间和优先级统计。这和使用!process @#Process 0 作为CommandString值一样。
To terminate execution at any point, press CTRL+BREAK (in WinDbg) or CTRL+C (in KD).
附加信息
关于进程的一般信息,查看线程和进程。进程操作和获取进程信息,查看控制进程和线程。
!for_each_thread
!for_each_thread 扩展对目标机中每个线程执行一次指定的调试器命令。
windbg命令解释(非常详细)
作者:admin 日期:2011-02-17
WinDBG中查看调用栈的命令
作者:admin 日期:2011-02-17
WinDBG断点命令详解
作者:admin 日期:2011-02-17
闪讯50版,通杀所有路由器接口
作者:admin 日期:2010-12-03
windows 关机过程
作者:admin 日期:2010-04-26
1、关机原理
我们执行关机操作后,通常看到的是系统的关机画面,然后是或短或长的等待,究竟这个关机画面后隐藏怎么样的过程呢?关机其实和开机一样涉及到多个过程,是多个进程,组件之间一个相互协作的过程,下面我们来细致了解一下:
1)发起关机指令
当用户发起关机指令时,将调起关机程序,windows xp下是shutdowm.exe,win98和win2000是rundll32.exe,该程序会通知windows子系统进程 csrss.exe,CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换,做好关机的准备工作,接着由Winlogon.EXE 通知CSRSS.EXE开始关闭系统的流程。
csrss.exe是客户端服务子系统,用以控制windows图形相关子系统;
我们执行关机操作后,通常看到的是系统的关机画面,然后是或短或长的等待,究竟这个关机画面后隐藏怎么样的过程呢?关机其实和开机一样涉及到多个过程,是多个进程,组件之间一个相互协作的过程,下面我们来细致了解一下:
1)发起关机指令
当用户发起关机指令时,将调起关机程序,windows xp下是shutdowm.exe,win98和win2000是rundll32.exe,该程序会通知windows子系统进程 csrss.exe,CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换,做好关机的准备工作,接着由Winlogon.EXE 通知CSRSS.EXE开始关闭系统的流程。
csrss.exe是客户端服务子系统,用以控制windows图形相关子系统;
360保险箱反注入分析
作者:admin 日期:2010-03-25
inline hook NtQuerySystemInformation 保护进程
作者:admin 日期:2010-02-08
inline hook & NtQuerySystemInformation & ring0
本文呢,是介绍一种保护进程不被结束的方法,这个方法不算新了,好旧好旧的了,其实呢,也是 hook 了某个函数来实现的,不过没有 hook NtOpenProcess 、NtTerminateProcess、KiInsertQueuApc 等函数,而是 hook 了 NtQuerySystemInformation 来保护我们的进程,NtQuerySystemInformation 是用来查询系统信息的,可以查询的系统信息有 54 种这么多,其中 ID 是 5 的话呢,就会返回一个链表,这个链表中包括了当前系统中的所以的进程名、进程 ID,也就是说这个函数可以获取系统的进程列表,我们可以 hook 这个函数来隐藏进程,不过这次是保护进程,不是隐藏哦
在 ring3 中,列举进程的方法是调用 Tool32 或者 psapi 中的 EnumProcess,可是这些函数都调用了 ZwQuerySystemInformation 然后在NtQuerySystemInformation,也就是我们 hook NtQuerySystemInformation 就可以保护&隐藏进程了哇
hookNtQuerySystemInformation 的方法有好的,可以修改 SSDT,也可以修改函数前 5 个字节,也就是inline hook了,本文采用后者哦
在函数开始的5个字节中,改为一个 Jmp 指令,让她在调用这个函数的时候跳转到我们的函数中,我们在经过一些处理后再调用原来的****
本文呢,是介绍一种保护进程不被结束的方法,这个方法不算新了,好旧好旧的了,其实呢,也是 hook 了某个函数来实现的,不过没有 hook NtOpenProcess 、NtTerminateProcess、KiInsertQueuApc 等函数,而是 hook 了 NtQuerySystemInformation 来保护我们的进程,NtQuerySystemInformation 是用来查询系统信息的,可以查询的系统信息有 54 种这么多,其中 ID 是 5 的话呢,就会返回一个链表,这个链表中包括了当前系统中的所以的进程名、进程 ID,也就是说这个函数可以获取系统的进程列表,我们可以 hook 这个函数来隐藏进程,不过这次是保护进程,不是隐藏哦
在 ring3 中,列举进程的方法是调用 Tool32 或者 psapi 中的 EnumProcess,可是这些函数都调用了 ZwQuerySystemInformation 然后在NtQuerySystemInformation,也就是我们 hook NtQuerySystemInformation 就可以保护&隐藏进程了哇
hookNtQuerySystemInformation 的方法有好的,可以修改 SSDT,也可以修改函数前 5 个字节,也就是inline hook了,本文采用后者哦
在函数开始的5个字节中,改为一个 Jmp 指令,让她在调用这个函数的时候跳转到我们的函数中,我们在经过一些处理后再调用原来的****
Tags: inline hook api hook
PE文件的装载过程(4)
作者:admin 日期:2010-02-07
PE文件的装载过程(3)
作者:admin 日期:2010-02-07
PE文件的装载过程(2)
作者:admin 日期:2010-02-07
PE文件的装载过程(1)
作者:admin 日期:2010-02-07
路由器工作原理及安全设置
作者:admin 日期:2010-02-07
路由器工作原理
路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平 面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包 后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路 由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。
路由协议根据网 络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间 协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点 交换数据,不能使用多播方式,只能采用指定的点到点连接。
路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平 面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包 后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路 由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。
路由协议根据网 络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间 协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点 交换数据,不能使用多播方式,只能采用指定的点到点连接。
删除windows服务
作者:admin 日期:2010-02-04
截获流经本机网卡的IP数据包
作者:admin 日期:2010-01-24
从事网络安全的技术人员和相当一部分准黑客(指那些使用现成的黑客软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(Sniffer)感到陌生,网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用,但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见,嗅探器实际是一把双刃剑。 虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他黑客软件提供网络情报,真正的攻击主要是由其他黑软来完成的。而在网络安全方面,网络嗅探手段可以有效地探测在网络上传输的数据包信息,通过对这些信息的分析利用是有助于网络安全维护的。权衡利弊,有必要对网络嗅探器的实现原理进行介绍。
嗅探器设计原理
嗅探器作为一种网络通讯程序,也是通过对网卡的编程来实现网络通讯的,对网卡的编程也是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。
嗅探器设计原理
嗅探器作为一种网络通讯程序,也是通过对网卡的编程来实现网络通讯的,对网卡的编程也是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。
加密解密_MD5初解
作者:admin 日期:2010-01-02
谈起收费软件,大家的第一反应一定是2个字—花钱!(众人:废话!不让你花钱能叫收费软件啊)。那么之后闪过大家脑海的一定就是那又倒霉又繁琐的序列号啦,但是公平的讲呢,现有的序列号加密算法大多都是由一些软件开发者自行设计的,尤其是个别的软件开发者,自身的IQ就偏低,所以导致大部分是相当的简单,更有些算法的作者下的功夫之大,可谓是前无古人后无来者,所取得的效果也真是前无古人后无来者的“高”(注意标点!)
其实呢,当今互联网世界还是有很多很多成熟的加密算法可以让各位来参考,特别是密码学中比较成熟的一些算法,比如RSA,MD5,TEA等等。但是这里要提醒各位的是,虽然这些算法在互联网上拥有大量的库和源代码,可以让你直接拿来使用,不过方法也是要得当的,否则你的算法和1+1=2这个简单的等式没有本质区别。
哈希算法
哈希算法也叫做单向散列加密,是一种将任意长度的消息压缩到某一长度的函数,当然这个过程是不可逆转的。(这里给大家补充下高中数学知识,函数:任意的非空数集,A在法则f的作用下,都在B中有唯一确定的值与其对应,我们说这个法则f就是A对B的函数。貌似教科书是这么说的..)。可以说呢,哈希算法的应用范围非常的广泛,从数字签名,消息的完整性检验等等都可以用到,大家常见的单向散列加密就有SHA,MD5,HAVAL等等…
其实呢,当今互联网世界还是有很多很多成熟的加密算法可以让各位来参考,特别是密码学中比较成熟的一些算法,比如RSA,MD5,TEA等等。但是这里要提醒各位的是,虽然这些算法在互联网上拥有大量的库和源代码,可以让你直接拿来使用,不过方法也是要得当的,否则你的算法和1+1=2这个简单的等式没有本质区别。
哈希算法
哈希算法也叫做单向散列加密,是一种将任意长度的消息压缩到某一长度的函数,当然这个过程是不可逆转的。(这里给大家补充下高中数学知识,函数:任意的非空数集,A在法则f的作用下,都在B中有唯一确定的值与其对应,我们说这个法则f就是A对B的函数。貌似教科书是这么说的..)。可以说呢,哈希算法的应用范围非常的广泛,从数字签名,消息的完整性检验等等都可以用到,大家常见的单向散列加密就有SHA,MD5,HAVAL等等…
