原创 wpf command
在我們日常的應用程序操作中,經常要處理各種各樣的命令和進行相關的事件處理,比如需要複製、粘貼文本框中的內容;上網查看網頁時,可能需要返回上一網頁查看相應內容;而當我們播放視頻和多媒體時,我們可能要調節音量,快速拖動到我們想看的片段等等。在
原创 WRK簡單介紹
版權聲明:轉載時請以超鏈接形式標明文章原始出處和作者信息及本聲明http://nokyo.blogbus.com/logs/33016889.html 什麼是WRK WRK的全稱是“Windows Research Ker
原创 代碼重定位
遠程線程的代碼重定位:就是修正函數、變量的地址使它們能在新的進程(線程)中正常調用.常用方法是使用偏移量,使這些地址用[偏移量+變量名]的形式來表現。用函數時,參數要用到全局變量的時候,要先lea出地址來; 重定位代碼 //------
原创 pe病毒代碼段
因爲pe病毒只有一個代碼段不可寫,而平常數據寫入是在代碼段,所以我們必須修改代碼段使其具有可讀可寫可執行的屬性。代碼段屬性值一般爲60000020,修改爲e0000020。 31位 可寫 30位 可讀 29位 可執行 6的二進制碼爲011
原创 Win32 SEH異常深度探索_7 對未處理異常的默認處理
Unhandled Exceptions Earlier in the article, I put off a full description of the UnhandledExceptionFilter API. You no
原创 Win32 PE病毒原理分析
by guojpeng/CVC.GB 在絕大多數病毒愛好者眼中,真正的病毒技術在Win32 PE病毒中才會得到真正的體現(令病毒極度瘋狂的DOS時代已經過去)。並且要掌握病毒技術的精髓,學會Win32彙編是非常必要的。本節所涉及到的源代
原创 FS寄存器
FS寄存器指向當前活動線程的TEB結構(線程結構)偏移 說明000 指向SEH鏈指針004 線程堆棧頂部008 線程堆棧底部00C SubSystemTib010 FiberData014 ArbitraryUserPoin
原创 搭建VM環境,調試WRK內核
學習日誌:具體實現過程參考《VMware Workstations6基本使用》和《WRK 實驗環境設置》,現在將整個過程、其中遇到的問題及解決辦法(重點)敘述一下。 環境及工具:VMware+Windows2003sp1+WRK1.2+
原创 VC++反調試
In this side note, we take a closer look at the source code of some bots. We demonstrate several examples of technique
原创 Win32 SEH異常深度探索_8 異常處理是如何開始的
If you've made it this far, it wouldn't be fair to finish without completing the entire circuit. I've shown how the ope
原创 獲取Kernel32基地址的幾種方法
1、CreateProcess函數在完成裝載應用程序後,會先將一個返回地址壓入到堆棧頂端,而這個返回地址恰好在Kernel32.dll中,利用這個原理我們可以順着這個返回地址按64KB大小往地址搜索,那麼我們一定可以找到Kernel32
原创 論外掛與反外掛
來源:邪惡八進制文章作者:hellfish 道高一尺,魔高一丈 前言: 自<<石器時代>>開始, 外掛這一名詞漸漸爲世人所知. 到盛大第一款網遊<<傳奇>> 剛開始的宣傳語 <永無外掛> 基本上所有的玩家都知道了有個叫外
原创 Win32 SEH異常深度探索_5 一個異常幀鏈表遍歷例子
If you're feeling a bit overwhelmed at this point by things like EXCEPTION_REGISTRATIONs, scopetables, trylevels, filt
原创 反調試技術
1.程序窗口句柄檢測原理:用FindWindow函數查找具有相同窗口類名和標題的窗口,如果找到就說明有OD在運行//********************************************//通過查找窗口類名來實現檢測Ol
原创 繞過Anti-Rookit的內核模塊掃描技巧
本文描述了一些方法,可以繞過目前主流的現代Anti-rootkit工具,包括但不限於:Icesword 最新版、Gmer最新版、Rootkit unhooker 最新版、DarkSpy 最新版以及AVG Anti-rootkit最新版等等