原创 How Do Windows NT System Calls REALLY Work?--Windows NT的系統調用究竟是如何工作的?
出處: http://www.codeguru.com/Cpp/W-P/system/devicedriverdevelopment/article.php/c8035/ Most texts that describe
原创 打造對抗 OpenProcess 檢測的 OD
有些殼, 如 ExeCrypter 2.2.x 用 OpenProcess("CSRSS.EXE") 的方法來檢測 OD.其原理如下:普通進程是沒有 SeDebugPrivilege 的, 這時 OpenProcess(系統進程) 不能
原创 Windows NT下和Windows 9x下DLL的存在形式
最近看到了一個模擬LoadLibrary的代碼,其中有這麼一段 if(g_bIsWinNT) ...{ // === Windows NT DLL Loading (supports shared sections) ===
原创 利用SEH異常清硬件斷點
SEH("Structured Exception Handling"),即結構化異常處理.是操作系統提供給程序設計者的強有力的處理程序錯 誤或異常的武器.在VISUAL C++中你或許已經熟悉了_try{} _finally{}
原创 終於畢業了,另外找到新房子了,準備擇取黃道吉日,搬家
研究生終於畢業了,波折頗多啊. 因爲一直都在外面工作,這個畢業論文沒有什麼學術背景,另外自己估計是看老外的技術教程看多了,沒有掌握到畢業論文的寫法,本來我想把這兩年來工作經驗都沉澱到畢業論文裏面去的,但是在答辯的時候被老師
原创 如何anti_anti_hardware_breakpoint
之前我寫過一篇利用SEH異常清硬件斷點,看來真的是有矛就有盾啊,發現了一篇英文文章,專門講如何anti_anti_hardware_breakpoint(很拗口吧?翻譯成中文就是如何對付那些防止我們下硬件斷點的程序). Chapt
原创 擦除模塊痕跡
對於擦除模塊痕跡,我實驗了兩種方法,下面一一闡述: 1.修改PEB結構,用代碼說話 typedef struct _PEB_LDR_DATA ...{ ULONG Length; BOOLEAN
原创 如何寫自己的殼
--------------------------------------------------------------------------------Writing Your Own Packer - by BigBoote -
原创 可以自己實現重定位的代碼
在病毒裏面經常會使用到這種技術,因爲病毒的啓動往往不是通過windows來加載,那麼各個地址的重定位也就需要手工來完成,如果代碼本身就具備重定位功能的話,那麼手工加載病毒就會容易的多,可以輕易把病毒塞入一塊任意的由VirtualA
原创 反省一下
最近有點浮躁,有時候覺得自己25歲,人都老了.什麼時候變這麼悲觀了?實際上我才25歲. 還了助學貸款,終於零負債了,呵呵,從大學開始就很不爽這種感覺.但是以後不是還有房貸?我就不抱怨了,網上抱怨的實在太多了,咱要樂觀不是
原创 味精雞精要合理使用
味精是一種增鮮味的調料,炒菜、做餡、拌涼菜、做湯等都可使用。但如果不遵守使用規則,不僅達不到理想的調味效果,甚至會產生副作用,所以在烹飪當中使用味精要
原创 今天做可樂雞翅
今天,老婆大人說平時都是她做菜, 週末了,就該我了.本來我想炒個拿手的蛋炒飯就打發了,可是她不知廉恥的,明確指定了要可樂雞翅*&%*(^......有句話叫做"胳膊拎不過大腿",我只好去買好材料. 材料準備好了,可是網上的
原创 窗口化與全屏設定的區別
經過我的實驗,以及閱讀DX的SDK,我得出了以下的結論: D3DPRESENT_PARAMETERS d3dpp; ZeroMemory( &d3dpp, sizeof(d3dpp) ); d3dpp.
原创 我家廚房--虎皮青椒和推紗望月
昨天做完了飯太累了,就睡覺了,今天補上。 首先是虎皮青椒,我放油下去,但是我不知道放多少,我就放了大概1cm高,後來知道肯定放多了,浪費啊,這個心疼啊,就當學費好了。油有點微微冒煙的時候 ,下青椒,因爲青椒剛洗過,因此下去
原创 關於Int 2E
下面是反彙編ntdll.dll的NtCreateEvent部分 NtCreateEvent調用了int 2E Exported fn(): NtCreateEvent - Ord:005AhExported fn(): ZwCreateE