分类: 破解调试 |

Sublime Text2.0.2破解

直接输入注册码就可以了

 

----- BEGIN LICENSE -----

Andrew Weber

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6151

cdecl和stdcall调用约定的汇编代码对比

 
 
--- d:\projects\lab\call_type\call_type.cpp ------------------------------------
#include <stdio.h>
 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8692

windbg命令详解

DLL

该扩展仅在内核模式下使用,即使它是在Ext.dll中的。

Windows NT 4.0

Ext.dll

Windows 2000

Ext.dll

Windows XP和之后

Ext.dll

注释

如果不提供参数,调试器会列出所有进程,以及时间和优先级统计。这和使用!process @#Process 0 作为CommandString值一样。

To terminate execution at any point, press CTRL+BREAK (in WinDbg) or CTRL+C (in KD).

附加信息

关于进程的一般信息,查看线程和进程。进程操作和获取进程信息,查看控制进程和线程

!for_each_thread

!for_each_thread 扩展对目标机中每个线程执行一次指定的调试器命令。

查看更多...

Tags: windbg WINDBG教程 windbg命令

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 20803

windbg命令解释(非常详细)

 

!processfields

!processfields 扩展命令显示执行进程块(EPROCESS)中字段的名字和偏移。

语法

!processfields 

DLL

Windows NT 4.0

Kdextx86.dll

Windows 2000

Kdextx86.dll

Windows XP和之后

不可用(查看注释)

注释

查看更多...

Tags: windbg windbg命令 WINDBG教程

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 40875

WinDBG中查看调用栈的命令

 

 

 

命令

==========

k

k命令显示的是一定数量的栈帧, 其中帧的数量是由.kframes命令来控制的, 默认值是256。

image

 

kp 5

显示调用栈中前5个函数以及他们的参数.

 

kb 5

显示调用栈中前五个函数以及他们的前三个参数.

 

kf 5

显示在调用栈中五个函数所使用的栈的大小.

查看更多...

Tags: windbg 调用栈

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 11312

WinDBG断点命令详解

 

bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG 不会把bp断点保存工作空间中 。 所以,我比较喜欢用bu 命令。

查看更多...

Tags: windbg WINDBG教程 windbg断点

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9131

闪讯50版,通杀所有路由器接口

http://www.zeroplace.cn/article.asp?id=480

这篇是闪讯50版本路由破解的一些情况。

本来想做个水星版本的就算了,况且过了这么长时间,代码都冷了,看看也看不进了。

市场上路由种类这么多,总不可能每一种路由的每个版本都让我写出来吧。所以我想了一个折中的办法。

查看更多...

Tags: 闪讯 破解 路由

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 23807

windows 关机过程

1、关机原理
   我们执行关机操作后,通常看到的是系统的关机画面,然后是或短或长的等待,究竟这个关机画面后隐藏怎么样的过程呢?关机其实和开机一样涉及到多个过程,是多个进程,组件之间一个相互协作的过程,下面我们来细致了解一下:
   1)发起关机指令
    当用户发起关机指令时,将调起关机程序,windows xp下是shutdowm.exe,win98和win2000是rundll32.exe,该程序会通知windows子系统进程 csrss.exe,CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换,做好关机的准备工作,接着由Winlogon.EXE 通知CSRSS.EXE开始关闭系统的流程。
    csrss.exe是客户端服务子系统,用以控制windows图形相关子系统;

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10723

360保险箱反注入分析

分析版本:360保险箱v3.0正式版(2009.12.1下载)
分析工具:syser debugger、ida
使用平台:XP sp2虚拟机
 
启动的注入进程在进入r0后总会执行到内核态函数KeUsermodeCallback,而DLL

查看更多...

Tags: 导 数 inline hook 汇编 vc

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10753

inline hook NtQuerySystemInformation 保护进程

      inline hook & NtQuerySystemInformation & ring0
本文呢,是介绍一种保护进程不被结束的方法,这个方法不算新了,好旧好旧的了,其实呢,也是 hook 了某个函数来实现的,不过没有 hook NtOpenProcess 、NtTerminateProcess、KiInsertQueuApc 等函数,而是 hook 了 NtQuerySystemInformation 来保护我们的进程,NtQuerySystemInformation 是用来查询系统信息的,可以查询的系统信息有 54 种这么多,其中 ID 是 5 的话呢,就会返回一个链表,这个链表中包括了当前系统中的所以的进程名、进程 ID,也就是说这个函数可以获取系统的进程列表,我们可以 hook 这个函数来隐藏进程,不过这次是保护进程,不是隐藏哦
在 ring3 中,列举进程的方法是调用 Tool32 或者 psapi 中的 EnumProcess,可是这些函数都调用了 ZwQuerySystemInformation 然后在NtQuerySystemInformation,也就是我们 hook NtQuerySystemInformation 就可以保护&隐藏进程了哇
hookNtQuerySystemInformation 的方法有好的,可以修改 SSDT,也可以修改函数前 5 个字节,也就是inline hook了,本文采用后者哦
在函数开始的5个字节中,改为一个 Jmp 指令,让她在调用这个函数的时候跳转到我们的函数中,我们在经过一些处理后再调用原来的****

查看更多...

Tags: inline hook api hook

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12646

PE文件的装载过程(4)

上周毕业答辩,没完成任务,惭愧惭愧。。。。

可选头的最后一部分是DataDirectory字段,这个字段包含了16个IMAGE_DATA_DIRECTORY结构,结构的定义如下:

IMAGE_DATA_DIRECTORY STRUCT

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7974

PE文件的装载过程(3)

紧接着IMAGE_FILE_HEADER结构的是IMAGE_OPTIONAL_HEADER32结构,这个结构称为可选头, 其中定义了很多重要的信息,可选头的结构如下所示:

 

Code

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8050

PE文件的装载过程(2)

上一篇讲到PE load程序已经找到了PE文件头,PE文件头的定义如下所示:

 

IMAGE_NT_HEADERS STRUCT

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8804

PE文件的装载过程(1)

Windows下的可执行文件为PE(Portable Executable File Format/可移植的执行体)格式,文件的组织形式还是比较复杂的,花了大概一个星期的时间终于稍微弄懂了PE文件的装载过程。

PE文件最开始的部分称为DOS头,存在的作用是为了兼容DOS下的可执行程序,DOS头的结构如下:

 

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9886

路由器工作原理及安全设置

路由器工作原理

  路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平 面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包 后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路 由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

  路由协议根据网 络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间 协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点 交换数据,不能使用多播方式,只能采用指定的点到点连接。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6849

删除windows服务

删除的办法有两个:

办法一: 用sc.exe这个Windows命令
         开始——运行——cmd.exe,然后输入sc就可以看到了。使用办法很简单:
         sc delete "服务名"   (如果 衩 屑溆锌崭瘢 托枰 昂蠹右 牛?br />          如针对上面的: sc delete KSD2Service 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6960

截获流经本机网卡的IP数据包

从事网络安全的技术人员和相当一部分准黑客(指那些使用现成的黑客软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(Sniffer)感到陌生,网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用,但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见,嗅探器实际是一把双刃剑。 虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他黑客软件提供网络情报,真正的攻击主要是由其他黑软来完成的。而在网络安全方面,网络嗅探手段可以有效地探测在网络上传输的数据包信息,通过对这些信息的分析利用是有助于网络安全维护的。权衡利弊,有必要对网络嗅探器的实现原理进行介绍。 

  嗅探器设计原理

  嗅探器作为一种网络通讯程序,也是通过对网卡的编程来实现网络通讯的,对网卡的编程也是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9400

加密解密_MD5初解

谈起收费软件,大家的第一反应一定是2个字—花钱!(众人:废话!不让你花钱能叫收费软件啊)。那么之后闪过大家脑海的一定就是那又倒霉又繁琐的序列号啦,但是公平的讲呢,现有的序列号加密算法大多都是由一些软件开发者自行设计的,尤其是个别的软件开发者,自身的IQ就偏低,所以导致大部分是相当的简单,更有些算法的作者下的功夫之大,可谓是前无古人后无来者,所取得的效果也真是前无古人后无来者的“高”(注意标点!)
其实呢,当今互联网世界还是有很多很多成熟的加密算法可以让各位来参考,特别是密码学中比较成熟的一些算法,比如RSA,MD5,TEA等等。但是这里要提醒各位的是,虽然这些算法在互联网上拥有大量的库和源代码,可以让你直接拿来使用,不过方法也是要得当的,否则你的算法和1+1=2这个简单的等式没有本质区别。

哈希算法
哈希算法也叫做单向散列加密,是一种将任意长度的消息压缩到某一长度的函数,当然这个过程是不可逆转的。(这里给大家补充下高中数学知识,函数:任意的非空数集,A在法则f的作用下,都在B中有唯一确定的值与其对应,我们说这个法则f就是A对B的函数。貌似教科书是这么说的..)。可以说呢,哈希算法的应用范围非常的广泛,从数字签名,消息的完整性检验等等都可以用到,大家常见的单向散列加密就有SHA,MD5,HAVAL等等…

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8812

64位windows与32位windows的区别

以下内容集合了网上收集的硬件知识、本人的安装使用体会,以及跟帖中各位提供的理论或经验,本人在此汇总整理。注意,仅仅针对64位CPU,希望对大家有所帮助。

    就硬件层面,现在CPU的地址总线、芯片组BIOS等基本上已经对4GB以上容量的内存提供了良好支持。目前,对大内存的使用,系统的内存寻址能力、使用机制才是关键。

一、32位windows系统使用内存的限制

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 11942

vm虚拟机上网 (win7)

我win7下VMware装的XP 不能 上网 很是郁闷 
  看了 之前网上的一些东东 和我情况不一样 
    自己 解决了  起始比较郁闷
  开始-->菜单--> Vmware Virtual Network Editor
1  Virtual Network Editor中主机虚拟适配器中 添加一个Vmnet1 适配器  并启用 (之前有两个可以移除)

查看更多...

Tags: win7虚拟机上网 vm虚拟机上网 vm上网

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8605