|
DLL加载器自实现
看看这个,有人做过。http://bbs.pediy.com/showthread.php?p=976225#post976225 |
|
|
|
|
|
|
|
[求助]ollydbg call的問題
这是哪个版本,为什么显示OllyICE,很少用这个。 |
|
[求助]ollydbg call的問題
这个要试试。 |
|
[求助]DLL劫持内幕
如果是直接引用的,用工具可以看的。如果是间接的通过LoadLibrary/GetProcAddress的,比较麻烦。 |
|
[求助]Win7下运行程序可以默认管理员权限运行么
禁用UAC是可以的。这样所有应用都不会弹了。 要是针对个别应用的话,怀疑没有这样的方法,特别是使用官方的办法。Vista辛辛苦苦的好不容易做了这个出来,哪这么容易废了。 签名也不行的。还是弹的。 |
|
[原创]程序模拟用户登陆腾讯微博
同意,这才是王道啊。WebBrowser控件是IE带的,和.Net无关。 看了楼主的文章,有点不大明白楼主到底是怎么做的,是用TCP、IP做的?能show一些代码嘛? |
|
[原创]申请邀请码,简单破解
有点意思,楼主有心了。利用API断点和数据访问断点,看来大多数软件都是防防君子的。 |
|
[原创]XCon2011 安全焦点信息安全技术峰会议题征集函
这个会还开嘛,什么信息都没有。 |
|
[求助]Hot Patch 帖子中代码的疑问
应用做的多,hook接触的少。 原来只是觉得3楼的方式更简单直接,需求依赖更少。MJ的方法多跳了一层,也多了些限制。所以不大明白为什么多此一举,如果原因是为了逃避ARK检测,那就可以理解了。如果只是应用的需求,通用性,简单性应该更重要吧, |
|
[求助]Hot Patch 帖子中代码的疑问
Thanks for quick response. 第1个问题明白了。 第2个问题是复杂的问题,先不谈。 关于第3个问题, 以前是大多数的函数都是这么开头的,只有3个字节的序言, push ebp mov ebp, esp 微软为了hot patch,加了一个mov edi, edi 即函数的开头是如下5个字节。 mov edi, edi push ebp mov ebp, esp 一条jmp指令就5个字节,我的想法如果成立,函数开头的5个字节正好放一条jmp,就没有必要去管函数前面是不是nop或者是int。 代码可以这样来写。 declspec (naked) NTSTATUS OriginalObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID *Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL ) { _asm { mov edi,edi push ebp mov ebp, esp mov eax,ObReferenceObjectByHandle add eax,5 jmp eax } } 当然,那个InlineHookFuncXP也需要改动,不过只改一点,应该是更简单的了。 我没写过驱动,没这方面的经验,楼上的能否试试? |
|
[求助]WM_QUERYENDSESSION消息
我有点明白你的意思了,你是说为什么程序还在,没有终止。 还是因为那个该死的MSDN, WM_ENDSESSION, The application need not call the DestroyWindow or PostQuitMessage function when the session is ending. 注意MSDN上说,你不必调用DestroyWindow/PostQuitMessage ,那么谁会调用呢,是OS。这就是你发消息没有用的原因。因为程序要么没处理这个消息,要么处理了消息,但没有调用DestroyWindow/PostQuitMessage, 所以你看到程序还在。 我的印象中,记事本是处理这2个消息的用来保存没有保存的输入,但因为上述原因同样,它也不会终止。 一般这2个消息是由OS发送的,OS会在消息之后,终止所有的进程,程序这个时候才会被终止,而不是收到这个消息的时候。 The MSDN article states "The application need not call the DestroyWindow or PostQuitMessage function when the session is ending." When your msgproc returns from handing WM_ENDSESSION you have only a few seconds to clean up and exit your program. Otherwise the system will nuke your process with TerminateProcess. If your app reacts badly to TerminateProcess then you need to ignore the MSDN article's advice and execute your normal close sequence: DestroyWindow, PostQuitMessage, etc. This is required if you want to exit gracefully. |
|
[求助]WM_QUERYENDSESSION消息
晕 LZ,我不是说了嘛?不是所有的应用程序都处理这个消息的,即使处理了,也不会去检查这个什么参数,从我的经验来说,我写的应用都忽略这个lParam的。 当然,你硬要说MSDN就这么说的,我就没法和你解释了。“尽信书不如无书”,上pediy的,会这么看重文档的嘛。 如果你的目的是终止这个应用,你可以试试发送WM_CLOSE,而不是这个消息。 |
|
[分享]微软的Hot Patch代码
水平太菜,不是很明白。 1. WPOFF和WPON有什么用? 2. 在多核系统中,Hook函数的时候不怕有程序正在使用这个函数嘛? 3. 函数开头的5个字节已经是固定的了 mov edi, edi, push ebp mov ebp, esp 为什么需要使用前面的5个nop,不直接在这inline hook? |
|
[求助]WM_QUERYENDSESSION消息
大多数的应用程序是没有必要处理这个消息的。因为DefWindowProc返回TRUE, 会有哪些应用处理这个消息呢? 比如说notepad,word之类的,因为存在尚未保存的内容,但即使处理这个消息,也只会提醒用户,保存那些内容。不会去检查lParam参数,一句话,检查了也没有用啊。 当然,可能某些应用程序去检查lParam,但更多的是不会。 那另外一个问题就是,如果想强制启动系统,应该怎么做? To force all applications to terminate, use ExitWindowsEx, and specify the EXW_FORCE flag. This prevents the system from sending WM_QUERYENDSESSION messages. 而不是通过设置这个什么参数。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值