预览模式: 普通 | 列表

一点点小常识

这些都是在同学空间上看的

1.吃了辣的东西,感觉就要被辣死了,就往嘴里放上少许盐,含一下,吐掉,漱下口,就不辣了; 
2.牙齿黄,可以把花生嚼碎后含在嘴里,并刷牙三分钟,很有效; 

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 5622

加密pe导入表

       学习了pe结构和加载器的原理之后我们知道加载器加载可执行文件的时候会自动加载需要的dll文件和改写导入表函数地址。要是纯粹加密了导入表导致的结果就是执行文件无法被加载。而这次我要讲的就是加密导入表,而且要保证文件正常执行。怎么做呢?
      当然这只是我的一个设想,有时间我会做一下试验。
      首先要做的就是找到文件中的导入表并把他整个移动到别的地方,有必要的话也可以加密一下。,然后在原来的导入表的位置构造一个新的导入表,这个导入表里面只有kernel32.dll一个dll和LoadLibraryA,GetProcAddress两个函数,这样pe应该是可以正常加载的。
      然后我们要做的就是添加一段代码,并设置为程序的入口点。这段代码的作用就是到我们保存真正导入表的地方把导入表数据全部抄回到原来的地方,并修改每个函数的地址(地址可以用LoadliabrarA和GetProcAddress得到)。最后跳转到真正的程序入口点。

查看更多...

分类:破解调试 | 固定链接 | 评论: 1 | 查看次数: 9845

瑞星开机杀毒实现原理

用瑞星好长时间了,用久了,就产生思考了:开机杀毒是怎么回事呢?杀毒软件是怎么实现在系统启动的时候在Blue Screen上写东西的呢?

前几天偶然在网上发现一篇文章《Inside Native Applications》,我恍然大悟。

查看更多...

分类:破解调试 | 固定链接 | 评论: 1 | 查看次数: 8533

不用api获取进程ID和线程ID

在网上看到的代码,在Ring3层获取PID和TID,很有意思,转过来:
______________________________________________________
PID:
    mov pid,fs:[0x20];
TID:

查看更多...

分类:破解调试 | 固定链接 | 评论: 1 | 查看次数: 8956

彻底改掉进程名

写了个改进程名的东西,跟大家分享!技术含量不高,大牛飘过。

先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):

一、EPROCESS中:

查看更多...

Tags: c语言 系统 代码 文件 windows

分类:破解调试 | 固定链接 | 评论: 1 | 查看次数: 10248

2009年站长赚钱精华内容讲座

  以下是本次讲座实录:

  站长赚钱:关注创意,赢在人脉与执行力

  互联网现状

查看更多...

分类:智慧人生 | 固定链接 | 评论: 2 | 查看次数: 6785

无dll穿墙原理

穿墙概念不用说了,就是穿透防火墙。软件防火墙会监视进程对网络的使用情况,发现可疑软件使用网络时会提醒用户要是用户阻止的话,你的什么下载者什么远程控制就没用了。怎么穿墙呢,其实很简单,用一个已经获得用户允许使用网络的程序来进行网络连接。一般来说如果用户要上网就要用到浏览器,所以浏览器程序一般是被允许使用网络的。那怎么让浏览器来干我们想干的事呢,对,注入。一般注入是把要执行的代码放到dll里面然后把这个dll注入到远程地址中去执行,而今天要讨论的是无dll穿墙呀,难道不是注入。其实也是注入。只不过比dll注入来得更直接,直接把程序写到远程地址空间里去。

为了方便我们要写一个函数来做我们要在远程空间里做的事,比如说下载,比如说远控的服务端。
假设这个函数名字为download()

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6021

关于pe中的入口点和跳转问题

       pe里面的入口点和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一点。没什么技术含量大牛飘过啦。

大家知道pe的入口点是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚的,是address而不是offset,当然指的是内存里面的地址。那为什么会搞错呢?因为我用vb和vc++分别编译了一个简单的程序李测试,这时候我发现只要入口点的内存地址-映像基址=文件中的偏移量(因为OD载入厚就停留在入口点的),所以我误以为AddressOfEntryPoint就是一个文件偏移值,结果在写一个文件感染的程序的时候就只能感染这两个文件,其他像windows计算器还有资源管理器都出错。于是我就开始摸索,发现计算器的入口点减去映像基址并不等于入口点在文件里面的偏移,所以程序根本跳转不到我想要的地方。那我就纳闷了,装载器怎么找到要执行的地方呢?后来我又看到内存里面的入口点地址-映像基址就=AddressOfEntryPoint,于是我就想是不是AddressOfEntryPoint指的就是这个。我把入口点的地址放到oc转化器里面转换得到文件中的偏移,这个地方的数据果然和内存里面的是一样的。

      所以结论就是:内存中程序开始执行的地址=映像基址+AddressOfEntryPoint,而在文件中偏移为AddressOfEntryPoint的地方不一定是程序的入口点数据。因为windows的pe文件是有对齐的,在很多时候文件对齐和内存对齐是不一样的,AddressOfEntryPoint要经过一定的转换才能得到offset。为什么上面用vb和vc++编译出来的程序刚好一样呢?因为这两个程序的文件对齐系数和内存对齐系数刚好是一样的,而且代码段刚好都在第一个节。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8151

艳照门”再次被曝 隐私保护刻不容缓

广州日报近日报道称,网上再现艳照门女星不雅照。已被社会淡忘的08艳照门事件再次被提到了风口浪尖。“隐私”保护刻不容缓!隐私到底是什么?《现代汉语词典》给出了定义:“不愿告他人的或不愿公开的个人的事”。虽然解释泛泛,但隐私的主要内容基本为个人信息、数据、肖像、身体肌肤形态(尤其指性器官)的秘密等。“身体肌肤形态(尤其指性器官)的秘密”无疑是最为隐秘的,也是绝大多数人们最不希望公开的。 

  隐私,一直被制造

  然而,随着经济文化的不断开放,青年一代的意识越来越大胆、前卫,他们喜欢制造身体肌肤及性“隐私”,最具代表性的便是时下风行的“裸体婚纱照”、“人体艺术照”。

查看更多...

分类:智慧人生 | 固定链接 | 评论: 1 | 查看次数: 5839

Web服务器安全加固脚本 For Linux

自己并不是专门做Linux工作的,也只是兴趣而已。做安全检测工作的时候会遇到一些*nix的系统。
这个程序把一些常用的安全加固策略自动化了,又添加了防篡改、首页实时监控以及备份功能。
针对PHP做了防注入、防远程包含等措施,其实只是修改PHP.ini文件里的内容。
抽时间再添加一下Apache日志方面的功能。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 5740

向PE头的缝隙中插入代码

      有些人感觉pe文件很复杂,其实呢只要学懂了你就会觉得pe还是很简单的。上次写过一个往pe的第一个节里面写代码的东西,其实跟这个差不多,换汤不换药。这个可能会更简单,HOHO,废话不说了,直接进入正题。

先说一下往pe头缝隙里面写代码的原理

我们这次说的是windows平台下的感染(姑且成为感染吧),pe文件有一个dos头,其实说实话是几乎没什么用,就是用来跳到真正的pe头,里面的一部分代码是可以覆盖的。但是为了简单我们今天就不用这一部分空间了。其实还有一个更好的空隙就是解表到第一个节直接的空隙。大家都知道可执行文件在磁盘中是按照特定方式对齐的。比如文件对齐粒是1000的话,第一节开始的位置就是1000,应为所有pe头加起来不可能超过1000,而且远小于这个值,约为250.所以还有一大片空间来写我们的代码。

查看更多...

Tags: pe

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6063

vc编译exe的体积最小优化

人们都说vc做出的东西可以小点,现在你打开vc编译一个Hello World出来!点属性看下,咦!我没走眼吧,就一Hello World就160kb真是要人命啊! 
呵呵!上面的情况是笔者所遭遇的情况.不过后来了解vc可以通过设置参数来自定义编译方式.为什么文件那么大!主要是编译器加入了很多没必要的代码(这里是对我们而言,不过有些代码还是有利于安全的).好了我们就手动改下编译器的参数来看看能到多大!

我们主要用到的技巧有:

查看更多...

分类:c/c++ | 固定链接 | 评论: 0 | 查看次数: 6946
几个月前笔者跟两个年轻企业家在巴尔的摩吃了顿愉快的午餐,这两个年轻人最近才从霍普金斯大学(Johns Hopkins University)计算机科学系毕业,创办了一家业绩快速成长的顾问公司;他们的公司擅长以一种称为Ruby on Rails (又称Ruby)的语言,撰写以网页为中心的数据库(web-centric databases)软件。


我们边吃饭边谈一些工作上的话题,其中一个年轻人下了个令我难忘的评论:“用C语言写程序是真正的男人!”这句话是他跟同学在将可用的编程语言进行分类时所发明的;而即使优秀如他,也当场承认他不符合以上“真正的男人”条件。看来,这句话不仅反映了C语言的高难度,也显示对较年轻的设计工程师来说,C语言真的不好掌握。

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 5488

apihook原理分析

跨进程API Hook(初稿)

什么是“跨进程 API Hook”?
众所周知Windows应用程序的各种系统功能是通过调用API函数来实现。API Hook就是给系统的API附加上一段小程序,它能监视甚至控制应用程序对API函数的调用。所谓跨进程也就是让自己的程序来控制别人程序的API调用了。

查看更多...

Tags: api 原理 分析 hook

分类:c/c++ | 固定链接 | 评论: 1 | 查看次数: 5948

09年编程语言使用率前景分析


计算机在中国被大众所接受已经有十几个年头了,近几年,更是成为了人们在工作中不可或缺的重要工具。而编程语言对于IT行业从业者来说,也并不在陌生,谈到编程语言,也许每个人都能说出来几种或十几种。那么目前通用的编程语言有两种形式:分别是汇编语言和高级语言。汇编语言的实质和机器语言是相同的,都是直接对硬件操作,只不过指令采用了英文缩写的标识符,更容易识别和记忆。高级语言是目前绝大多数编程者的选择。它并不是特指某一种具体的语言,而是包括了很多编程语言, 如目前流行的Java、VB、VC、FoxPro、Delphi等。它不但将许多相关的机器指令合成为单条指令,并且去掉了与具体操作有关但与完成工作无关的细节,大大简化了程序中的指令。

    今天我们要说的编程语言,指的就是高级语言。随着计算机科技日新月异的发展,软件编程行业受到的关注越来越高,从事编程工作的人员—程序员的队伍也越来越庞大。程序员们每天用编程语言创造出一个又一个完美的软件产品。而我们都知道,一个软件产品主要是由一种编程语言来完成的,那么在现今众多流行的编程语言中,哪种编程语言最受程序员的喜爱,09年,哪种编程语言被程序员的使用率会更高?笔者查询了TIOBE编程语言排行榜2008年下半年的资料统计,在这里大胆的预测一下09年编程语言的使用率前景。(由于编程语言的家族成员非常多,在这里只列出前10种)。

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 5583

vc++ 向其他进程注入代码的三种方法

导言:
   我们在Code project(www.codeproject.com)上可以找到许多密码间谍程序(译者注:那些可以看到别的程序中密码框内容的软件),他们都依赖于Windows钩子技术。要实现这个还有其他的方法吗?有!但是,首先,让我们简单回顾一下我们要实现的目标,以便你能弄清楚我在说什么。
要读取一个控件的内容,不管它是否属于你自己的程序,一般来说需要发送 WM_GETTEXT 消息到那个控件。这对edit控件也有效,但是有一种情况例外。如果这个edit控件属于其他进程并且具有 ES_PASSWORD 风格的话,这种方法就不会成功。只有“拥有(OWNS)”这个密码控件的进程才可以用 WM_GETTEXT 取得它的内容。所以,我们的问题就是:如何让下面这句代码在其他进程的地址空间中运行起来:
::SendMessage( hPwdEdit, WM_GETTEXT, nMaxChars, psBuffer );

查看更多...

分类:c/c++ | 固定链接 | 评论: 1 | 查看次数: 6863

理解Windows消息机制

Windows系统是一个消息驱动的OS,什么是消息呢?我很难说得清楚,也很难下一个定义(谁在嘘我),我下面从不同的几个方面讲解一下,希望大家看了后有一点了解。 
            1、消息的组成:一个消息由一个消息名称(UINT),和两个参数(WPARAM,LPARAM)。当用户进行了输入或是窗口的状态发生改变时系统都会发送消息到某一个窗口。例如当菜单转中之后会有WM_COMMAND消息发送,WPARAM的高字中(HIWORD(wParam))是命令的ID号,对菜单来讲就是菜单ID。当然用户也可以定义自己的消息名称,也可以利用自定义消息来发送通知和传送数据。 
            2、谁将收到消息:一个消息必须由一个窗口接收。在窗口的过程(WNDPROC)中可以对消息进行分析,对自己感兴趣的消息进行处理。例如你希望对菜单选择进行处理那么你可以定义对WM_COMMAND进行处理的代码,如果希望在窗口中进行图形输出就必须对WM_PAINT进行处理。 
            3、未处理的消息到那里去了:M$为窗口编写了默认的窗口过程,这个窗口过程将负责处理那些你不处理消息。正因为有了这个默认窗口过程我们才可以利用Windows的窗口进行开发而不必过多关注窗口各种消息的处理。例如窗口在被拖动时会有很多消息发送,而我们都可以不予理睬让系统自己去处理。 
            4、窗口句柄:说到消息就不能不说窗口句柄,系统通过窗口句柄来在整个系统中唯一标识一个窗口,发送一个消息时必须指定一个窗口句柄表明该消息由那个窗口接收。而每个窗口都会有自己的窗口过程,所以用户的输入就会被正确的处理。例如有两个窗口共用一个窗口过程代码,你在窗口一上按下鼠标时消息就会通过窗口一的句柄被发送到窗口一而不是窗口二。

查看更多...

Tags: windows 消息机制

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 5161

添加用户的汇编代码

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .386
  .model flat, stdcall
  option casemap :none  ; case sensitive
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

查看更多...

Tags: 添加 用户 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 4778

Q版缓冲区溢出教程

不懂的可以留言提问,大家一起讨论讨论


http://www.yinghuochong.com/disk/516311.htm

Tags: 缓冲区 溢出 教程

分类:下载专区 | 固定链接 | 评论: 0 | 查看次数: 6208

OD教程


这篇OD教程主要解决下面几个问题
一,什么是 OllyDbg

OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题

查看更多...

Tags: OD教程

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9733
博主QQ: 友情链接请找我
QQ群: 灰色档案
返回顶部 关闭