Ta的论坛

{{ user_info.username }}

{{ user_info.brief }}

拉黑已拉黑关注已关注私信

头图
皮肤套装

使用

使用

主题(38) | 回帖(122) | 精华(0)

瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2009-1-19 00:03 0 [求助]碰上一病毒,发上来让大家看下; FlyingSnow, 你说的我都明白, 但是我测试后有个问题很困惑; 把病毒usp10.dll放到exe同目录下, 这个dll被加载了; 我自己写一个usp10.dll放到exe同目录下, 却不会被加装!!! 何解?
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2009-1-18 23:05 0 [求助]碰上一病毒,发上来让大家看下; USP10.dll是系统dll，大部分程序载入的时候都会加载的 ------> 这个我怎么没听说过? 有这回事的吗? 按这句话的意思就是, 只要PE文件被装载, 就查看同目录下有没有usp10.dll, 如果有, 就加载? 这也太荒谬了吧? 注意, 我所说的那个usp10.dll, 7KB, 在D盘创建了上千个, 凡是碰上exe, 都在同目录下创建一个usp10.dll , 然后? 运行exe, 这个dll就被装载了! 但是exe的导入表里并没有这个usp10.dll, 把usp10.dll删除, PE也可以正常装截并执行; 不知道病毒在什么地方做了手脚; 忘了说一下,已看过"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs", 没有被劫持...... 晕, 我太笨了, 我现在才想起实现这个目的的一个老方法, 晕, 读书真是白读了,想了这么久才想起; <windows核心编程>里面就提到过一个注入DLL的方法, 通过修改注册表, 就可以让绝大部分的程序在加载后自动加载某个DLL, 因为绝大部分的程序都需要user32.dll, 修注册表的哪里我不记得了,呵, 哪用修改PE文件的本身啊, 修改注册表就可以实现, 我太莱了刚查了一下那本书, 原来那本书里说的就是: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ---->真是白读那本书了, 这个注册表项我没记住; 但是我的注册表里这里是空的; 倒是发现这里有: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 000 REG_SZ usp10.dll 001 ....... 002 ........ 我在虚拟机上查看这项注册表, 没有这个键值的, 看来病毒修改了这里?但我自己测试了一下, 没发现这样会有什么效果;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2009-1-18 22:55 0 [求助]碰上一病毒,发上来让大家看下; 呵, 我没说usp10.dll是机器狗呀; (机器狗我是中了,不然它怎么破我的还原卡) 其实我想问的就是, 那些exe是如何自动加载usp10.dll的?????? 它好像没有修改PE文件的导入表, 那是怎么做到当PE文件被执行时,自动加载同目录下的usp10.dll的呢?
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2009-1-2 23:35 0 [求助]VC6工程向VC9转换遇到问题；呵呵, 设置成多字符集当然行; 你看我贴子内容的目的就是想使用Unicode字符集; 算了,我还是用VC9重建一个工程;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-30 03:37 0 [求助]线程控制块TEB,书中第5章突然出现的这个是什么意思啊很多关于系统编程的书, 都会提到PEB与TEB, 你没看过这类书? 我想 PEB 就是 Process Environment Block 进程环境块, 那么 TEB 就是 Thread Environment Block 线程环境块, 但是这本书好像把这东西说是"线程控制块", 在另一本书上, 我又看到作者把它说成是 Thread Information Block 线程信息块, .... 怎么说的都有, 我晕; 但无论怎样, 听说这个结构的地址是在FS寄存器中保存的; 这个结构主要用于保存线程的Context, 即当时的环境信息, 如寄存器的值啊, 异常处理结构链啊, ....等等这些信息, 那么系统在切换到别的线程的时候, 就把这些信息保存进这个结构, 当这个线程再次被调度的时候, 就利用这个TEB记录着的信息来还原上一次线程被中断时的环境信息. 简单地,大概地的就是这样;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-28 00:10 0 [求助]简单问题 - 如何调试DLL 解决了, 乱撞中的; 新建一个用于辅助调试的EXE程序, 这个程序只是简单地LoadLibrary, 在这个LoadLibrary下个断点; 这个程序的工程项目可以保存在任何地方, 无需和DLL的工程项目在同一地方; 打开DLL工程, 指定用这个EXE程序来辅助调试DLL, 启动调试, EXE程序将停在LoadLibrary, 并且可以看到EXE程序的源码, F10步进, 如果DLLMain函数里有断点, 将停在这里, F10步进直到DLLMain函数返回；以我的上面的例子来说， DllMain里创建了线程，返回后在调试器的线程窗口里把主线程(即EXE程序的主线程冻结掉)，然后切换到DLL文件创建的这个线程，调试器就会显示"没有为任何调用堆栈框架加载任何符号"，因为当时还在ntdll里，这时继续执行就会返回到DLL里了... 就可以对DLL进行源码的调试了； exe程序文件和DLL文件都要在原来的debug目录里，不然调试器会找不到它们的符号文件和源代码文件；好像很方便的样子，只要EXE程序里指定LoadLibrary这个DLL就行了； DLL工程里只需指定这个EXE程序用来调试即可
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-27 23:21 0 [求助]简单问题 - 如何调试DLL 自己再弄了一下, 新建一个win32程序, 这个程序只是简单地LoadLibrary这个DLL, 可以停在CreateThread这里了; 但是创建这个线程后(这个线程的代码在DLL中), 想切换到这个线程进行源码调试, 调试器就显示"没有为任何调用堆栈框架加载任何符号", 只能显示反汇编代码, 又如何解决呢....
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-27 08:47 0 [求助]PE文件中.textbss是什么节？这么在乎节名做什么,节名可以乱起的;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-27 08:45 0 [求助]DeviceIoControl的问题 DeviceIoControl 这个函数有读写方式可设置的吗? 你去哪看到的? 看MSDN, 这个函数没有读写方式可设; 那就是设备对象的读写方式与这个函数没有什么关系咯? MSDN: BOOL WINAPI DeviceIoControl( __in HANDLE hDevice, __in DWORD dwIoControlCode, __in LPVOID lpInBuffer, __in DWORD nInBufferSize, __out LPVOID lpOutBuffer, __in DWORD nOutBufferSize, __out LPDWORD lpBytesReturned, __in LPOVERLAPPED lpOverlapped );
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-27 08:30 0 [求助]用ZwQuerySystemInformation枚举进程时遇到的一个小问题，（请教!）嗯, 可能至少创建了2个新进程, 系统才会去更新这个"快照", ZwQuerySystemInformation 函数才能得到新的信息;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-27 08:27 0 [求助]用ZwQuerySystemInformation枚举进程时遇到的一个小问题，（请教!）貌似是ZwQuerySystemInformation 函数的问题, 这个函数只是向系统拿一个"快照", 并没有真正地实时监测系统; 何时何种情况下, 才更新这个"快照", 可能视系统与这个函数的查询类型有关; 我简单地测试了一下, 发现运行程序后, 再运行记事本程序, 程序根本没有"发现"记事本的进程, 再任意地运行任何一个进程, 程序就"发现"记事本的进程了, 貌似是"快照"已经被系统更新; ZwQuerySystemInformation 函数具体的细节不是很清楚;
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-5 23:00 0 [求助]请教高手一个奇怪问题！自己根据实际情况慢慢调试, 我哪知你那个有"中文"这两个字的窗口是什么? 可能这个窗口就是Explorer创建的
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-12-4 01:46 0 [求助]请教高手一个奇怪问题！我想应该是这样: 当一个进程被创建的时候，该进程的句柄表同时被创建（注意，是句柄表）；这个句柄表，就是记录了该进程可访问可使用的内核对象的句柄，但进程在使用这些内核对象的时候，并不直接使用这些对象的句柄，而是使用‘索引’；就是说，当你获得一个新的对象的句柄的时候，句柄表里就会增加一项，是按序列增加的，好像1, 2, 3, 4.... 这样，这个句柄表里使用的‘索引’，就是你进程中使用的所谓的‘句柄’；那么不难解释你上面的那个程序，你OpenProcess后，程序立即在句柄表里增加了一个‘索引’， 80（可能是因为之前句柄表里的最高索引为79），接着你CloseHandle，对象对于你的进程来说，被释放了，这个值为‘80’的索引从你的句柄表里被删除；然后，又OpenProcess获得一个句柄，当然，又是‘80’，你又CloseHanlde，这个‘80’又没了.... 如此循环，所以，这个值一直都是： 80
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-11-9 20:36 0 [讨论]驱动的加载 - 如何绕过主动防卸 sudami, 刚查了你发的贴, 发现你发的贴子全是什么内核注入DLL, 干掉杀毒软件,驱动感染, .... 你竟然还在这里厚颜无耻地说: 做点正规的东西多好,天天想着歪门邪道. , 你是不是精神错乱了?
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 2008-11-9 20:29 0 [讨论]驱动的加载 - 如何绕过主动防卸就你这素质，整天动不动就fuck来fuck去，fuck你妈啊？有对弈，才有进步；照你这样说，凡是对杀毒软件不利的技术，一律都应该停止？那么那些工程师门整天上网玩游戏去了，整天不思进取；

{{ user_info.digests_3 }}

精华数

{{ user_info.rank }}

RANk

{{ user_info.golds == '' ? 0 : user_info.golds }}

雪币

{{ points }}

活跃值

关注数

粉丝数

{{ experience }}

课程经验

{{ score }}

学习收益

{{study_duration_fmt}}

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值

活跃值：

活跃值

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值