XiaoP

遙看彩蝶雙雙飛, 蓦然回首憶已空。
  部落阁 :: Borland博客 :: 我的首页 :: 联系 ::  :: 我的圈圈 :: 登录
  23 随笔 :: 30 文章 :: 11 评论 :: 0 跟踪
<2012年5月>
293012345
6789101112
13141516171819
20212223242526
272829303112
3456789

公告

慢慢地开始喜欢寂寞,静静的思考。

上中学想考一所好高中,结果呢---还是上了一所很一般的高中。

上高中想考一所好大学,结果呢---还是上了一所很垃圾的大学。

以前说找个心爱的女孩,结果呢---还是不能守护她美丽的世界。

望天上云卷云舒......

如果有一天 我回到从前 回到最原始的我 你是否会觉得我不错 如果有一天 我离你遥远 不能再和你相约 你是否会发觉我已经说再见 当你的眼睛眯着笑 当你喝可乐当你吵 我想对你好 你从来不知道 想你想你 也能成为嗜好 当你说今天的烦恼 当你说夜深你睡不着 我想对你说 却害怕都说错 好喜欢你 知不知道 如果有一天 梦想都实现 回忆都成了永远 你是否还会记得今天 如果有一天 我们都发觉 原来什么都可以 无论是否还会停留在这里 当你的眼睛眯着笑 当你喝可乐当你吵 我想对你好 你从来不知道 想你想你 也能成为嗜好 当你说今天的烦恼 当你说夜深你睡不着 我想对你说 却害怕都说错 好喜欢你 知不知道 也许空虚让我想得太多 也许该回到被窝 梦里和相遇 就毫不犹豫 大声的说我要说 当你的眼睛眯着笑 当你喝可乐当你找 我想对你好 你从来不知道 想你想你 也能成为嗜好 啦~ 啦~ 我想对你说 却害怕都说错 还喜欢你 知不知道 啦~ 啦~ Over...

访问计数器: free web stats

最新的回复:

文章分类

档案

相册

多媒体

常去的地方

搞技术滴~~死党

好友滴~~家家

登录

2007年11月2日 #

the way ...........
Way for me?Tell me where is my way ,god. Many people talk  do your best......can succeed!so  i   trusted....... But  more  people  fail, even thoug  try hard. What  thking, go o  浏览全文...
6:48 | 评论 (1)

2007年10月30日 #

ASProtect 2.3 SKE build 04.26 Beta [3] 终于脱掉啦...
今天脱ASProtect 2.3 SKE build 04.26 Beta [3] 加壳的X-Trap主程序.......郁闷啊 先从早上搞到下午都没的脱掉... 晚上了才发现原来是OD有问题......我靠!!! 其实很简单: 1.用OD载入Aspr2.XX_unpacker_v1.0SC.osc脱壳脚本 2.报告有代码偷窃,查看IAT中的数据 3.用ImportREC修复,导入表...OK!  浏览全文...
6:50 | 评论 (2)

2007年10月28日 #

午夜......
现在终于可以放松下了(不过好象要到早上5点了~哈哈) 来了好几天了,今天终于有感觉了(学会了很多)~心情不错^_^ 安静的午夜好想你Baby..... 准备睡觉,明天继续努力!!!  浏览全文...
4:47 | 评论 (1)

2007年10月26日 #

上班了............生活不容易啊~~!
和XiaoT从学校偷跑出来.......(BS:现在的大学啊,不是我上大学而是大学上我! 强烈的被强奸的感觉.......) 在一个做外挂的团队的做逆向分析和加解密......(做了我想做的行业,这个视乎有点光不明正不大~~呵呵) 团队不大只有几个人,三个做开发...... 至于工资有几K吧....(担心哟,不晓得拿得到工资不~~最近貌视效益不是很好) 刚来就跟到做GE的脱挂.........强烈的感觉到技术太菜了. 遇到个X-Trap(游戏保护&反外挂)弄的我的脑壳硬是痛哦~~  浏览全文...
0:15 | 评论 (4)

2007年6月6日 #

修改活动进程链来隐藏进程代码
汇编: by zjjm 很多贴子都写过如何修改活动进程链来隐藏进程,但大多不说明原因,让别人知其然不知其所以然,今天俺来发个贴子献献丑。大家可能使用过PsGetCurrentProcess函数来获取当前线程的EPROCESS,如果你反汇编这个函数的话,你一定会发现这可能是内核中最简单的一个函数了,只有三行: mov eax, fs:0x00000124; mov eax, [eax + 0x44]; ret 这么简单的代码也行?当然可以!Windows中有一个叫Kernel's Pr  浏览全文...
11:23 | 评论 (3)

内核态实现进程和端口关联
 ////////////////////////////////////////////////////////////////////////////////////////////  作者 beiyu http://beiyu.bokee.com//  内核态实现进程和端口关联,在WINDOWS2000.xp,2003下可以用。//  感谢Leven公布了他的代码,增加了区分tcp,udp,增加了操作系统的兼容性//  可以在Windows  浏览全文...
11:22 | 评论 (0)

Ring0 Call Ring3
pjf(jfpan20000@sina.com)很久没写什么东西,一来文笔太烂,二来我不是一般的懒。这个东西一看题目也就知道又是一篇无聊的帖子,凑凑数先。因为最近决定把读本科时的古董机上的东西收拾一下,看到一些最初学习时的老代码,回忆往日的时光,还颇有一些感慨呢...以后有空就选一些贴贴,也不怕人笑了。今天第一帖,代码原是大二时为NT4系统写的,是原先实践x86体系写的,作用是在Driver中“调用”用户态的MessageBoxA做出显示。朋友都说:“你无聊不  浏览全文...
11:21 | 评论 (0)

Driver Development Part 1 Introduction to Drivers
IntroductionThis tutorial will attempt to describe how to write a simple device driver for Windows NT. There are various resources and tutorials on the internet for writing device drivers, however, they are somewhat scarce as compared to writing a &#  浏览全文...
11:20 | 评论 (0)

关于驱动开发的几个必读BLOG
对于从事Windows驱动开发的朋友,或者是对Windows内核感兴趣的朋友,以下几个BLOG值得经常看看! 1,Kernel Mustard by Steve Dispensa link: http://kernelmustard.com/category/ddk/ 他以前的BLOG地址为:http://msmvps.com/blogs/kernelmustard/default.aspx 2,Larry Osterman's WebLog - Confessions of an Old  浏览全文...
11:19 | 评论 (2)

2007年6月4日 #

Delphi編譯指令與說明
    {$IFDEF WIN32} -- 這可不是註解喔!對於Delphi來說﹐左右大括號之間的內容是註解﹐然而「{$」(左括號後緊接著貨幣符號)對於Compiler(編譯器)而言並不是註解﹐而是寫給Compiler看的特別指示。應用時機與場合Delphi中有許許多多的Compiler Directives(編譯器指令)﹐這些編譯指令對於我們的程式發展有何影響呢? 它們又能幫我們什麼  浏览全文...
22:30 | 评论 (0)

拦截其它程序的网络数据封包
拦截其它程序的网络数据封包 2007-06-04 11:06:47 .A_font_change_big{font-size:16px;line-height:27px;}.A_font_change_big a{font-size:16px;line-height:27px;} .A_font_change_mid{font-size:14px;line-height:24px;}.  浏览全文...
22:25 | 评论 (0)

2007年6月3日 #

在NT系列操作系统里让自己消失
作者:Holy_Father <holy_father@phreaker.net>版本:1.2 english日期:05.08.2003 1. 内容2. 介绍3. 文件    3.1 NtQueryDirectoryFile    3.2 NtVdmControl4. 进程5. 注册表    5.1 NtEnumerateKey    5.2 NtEnumerat  浏览全文...
14:46 | 评论 (0)

hook API---Inline hook
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。 所谓API Hook,就是用自己写的函数去替代系统API的“职位”,此后,自己写的函数便掌握了以前由被hook的API所  浏览全文...
14:45 | 评论 (0)

挂钩Windows API
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com) ===========================[ 挂钩Windows API ]==================                        浏览全文...
14:44 | 评论 (0)

内核级利用通用Hook函数方法检测进程
标题    内核级利用通用Hook函数方法检测进程     出处    i_like_cpp 的 Blog  关键字  内核级利用通用Hook函数方法检测进程       介绍通用Hook的一点思想:    在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,  浏览全文...
14:44 | 评论 (0)

几个重要的函数
几个重要的函数   几个重要的函数:  [特别划来的几个底层函数很有用,有公开的、也有没公开的,有用就收起来]   ±        NtQueryDirectoryFile ±        在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文  浏览全文...
14:43 | 评论 (0)

2007年5月26日 #

Hook 内核ntoskrnl'sZwQuerySystemInformation
标 题: 【原创】Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名作 者: qiweixue时 间: 2006-12-21,18:56链 接: http://bbs.pediy.com/showthread.php?t=36742原理:通过修改内核ntoskrnl的服务表结构体KeServiceDescriptorTable,计算机出ZwQuerySystemInformation的地址,然后替换成自己的MyZwQuerySystemInfo  浏览全文...
21:08 | 评论 (2)

2007年4月20日 #

用户态枚举进程的几种方法
最近在准备一个进程查看(当然不只进程查看功能了)的工具,总结了在用户态下查找进程的几种方法。 当然,如果想要真正做到进程查看,还是要进入核心态中,因为在用户态是查不到什么东西的,但是可以用来和 核心态结果进行比较找出隐藏进程。(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。 //write by jingzhongrong 1、利用ToolHelp API 首先创建一个系统快照,然后通过对系统快照的访问完成进程的枚举 获取系统快照使用 CreateToo  浏览全文...
13:59 | 评论 (2)

可执行文件的捆绑和分离
多个文件的捆绑,为了实现上述功能,可以将主程序中加入分解功能,或者使用一个自解压的控制程序来进行文件的分解。下面以一个自解压控制程序来说明问题: 捆绑之后的程序结构如下所示:   自解压控制程序 文件原始信息1 文件原始内容1 文件原始信息2 文件原始内容2 解压控制信息   每一个捆绑的文件都使用一个结构储存信息,添加到自解压控制程序后面,分解时再由控制程序读出信息并解出文件。 该结构信息如下:   浏览全文...
13:58 | 评论 (0)

安全稳定的实现进线程监控
创建时间:2005-03-24文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现进线程监控作者:ZwelL    用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine来进行进程线程监控我想大家已经都非常熟练了.sinister在<<编写进程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程的文章,比  浏览全文...
13:57 | 评论 (2)

监视系统中进程的创建和终止
//write by jingzhongrong 最近在论坛上看到很多人都在问这个问题,花了一些时间写了这个程序,原理很简单,主要功能通过一个内核驱动中使用PsSetCreateProcessNotifyRoutine 函数来实现。效果也不错 首先新建一个驱动程序工程,在DriverEntry例程中调用PsSetCreateProcessNotifyRoutine函数向系统添加一个回调函数,并创建一个系统事件对象,当系统中有进程新建或者进程终止,回调函数将会被调用,而在进程回调函数中,保存信  浏览全文...
13:57 | 评论 (2)

内核级HOOK的几种实现与应用
创建时间:2003-03-26文章来源:http://www.whitecell.org文章提交:sinister (jiasys_at_21cn.com)内核级HOOK的几种实现与应用Author  : sinisterEmail   : sinister@whitecell.orgHomePage: http://www.whitecell.org      实现内核级 HOOK 对于拦截、分  浏览全文...
13:54 | 评论 (0)

SSDT Hook的妙用-对抗ring0 inline hook
  ********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook  **作者:堕落天才                  &nb  浏览全文...
13:53 | 评论 (0)

WIN32-动态的查找GetProcAddress的API函数地址
WIN32-动态的查找GetProcAddress的API函数地址 ;适用系统Win9x/me/2k/xp/ntextrn MessageBoxA: procextrn ExitProcess: proc include wap32.inc .386.model flat,stdcall .datadb 0.code Start:mov eax,[esp] ;//取Kernel32返回地址and ax,0f000hmov esi,eax ;//得到Kernel.PELoader  浏览全文...
13:42 | 评论 (0)

2007年4月12日 #

三线程..进程保护@远线程直接代码注入 for Delphi
上篇文章讲了进程保护原理的实现,在这里详细讲解在Delphi中如何实现~ 声明:本文只在于技术讨论,希望不要被一些无聊的人来做无聊的事...... 一.用到的主要技术 1.多线程技术 2.动态定位API 3.非DLL的远线程代码注入 二.本程序写在控制台下,主要功能都在main_pas单元文件中实现。工程文件main_pr只调用一个MianThread函数就OK!程序我加上了详细的注释.....大家可以慢慢看... 三.工程文件main_pr如下... program main_  浏览全文...
15:53 | 评论 (0)

2007年4月10日 #

三线程..进程保护开发思路
在操作系统中,进程是存储器,外设等资源的分配单位,同时也是处理器调度的对象,但为了提高进程内的并发性,windows系统中引入了线程这个概念(在很多其他操作系统中同样也有线程的概念,由于在2001年微软停止了window9x内核的研发,所以本文只针对windowx2000/xp操作系统),这时系统把线程作为处理器调度的对象,一个进程可以同时拥有多个并发的线程。通常情况下的简单程序就只有一个主线程,它是在进程创建时自动生成的。我们可以将想要执行的代码放在主线程里,然后再生成两个辅助线程,它们的功能  浏览全文...
15:49 | 评论 (0)