酒水不犯茶水

摘要:
每个进程都有它自己的私有地址空间。当使用指针来引用内存时，指针的值将引用你自己进程的地址空间中的一个内存地址,有些情况下，必须打破进程的界限，访问另一个进程的地址空间，这些情况包括：
...........
阅读全文

posted @ 2007-08-03 13:00 009 阅读(403) | 评论 (0) | 编辑收藏

摘要:
介绍通用Hook的一点思想：
在系统内核级中，MS的很多信息都没公开，包括函数的参数数目，每个参数的类型等。在系统内核中，访问了大量的寄存器，而很多寄存器的值，是上层调用者提供的。如果值改变系统就会变得不稳定。很可能出现不可想象的后果。另外有时候对需要Hook的函数的参数不了解，所以不能随便就去改变它的堆栈，如果不小心也有可能导致蓝屏。所以Hook的最佳原则是在自己的Hook函数中呼叫原函数的时候，所有的寄存器值，堆栈里面的值和Hook前的信息一样。这样就能保证在原函数中不会出错。一般我们自己的Hook的函数都是写在C文件里面的。例如Hook的目标函数KiReadyThread。
........
阅读全文

posted @ 2007-08-03 12:59 009 阅读(297) | 评论 (0) | 编辑收藏

兄弟聚会

摘要: 性情中人，啥都不说了
......
阅读全文

posted @ 2007-07-31 21:20 009 阅读(771) | 评论 (2) | 编辑收藏

Stock(以便查看)

摘要:
日K线

阅读全文

posted @ 2007-07-31 18:14 009 阅读(334) | 评论 (0) | 编辑收藏

WTS APIs（Windows终端服务API）获取进程信息(ZT)

摘要:
WTS APIs（Windows终端服务API）获取进程信息
　Windows XP 有一个新特性叫做“快速用户转换——Fast User Switching”，这个特性允许多个用户同时在一台机器上登陆。当一个用户登陆后，另一个用户启动的进程仍然能够运行。这个神奇的特性所倚仗的是 WTS APIs。如果你想了解更多有关 WTS 的内容，可以参考 MSJ Oct99 的一篇文章：“Windows NT和 Windows 2000 终端服务APIs介绍”，作者是 Frank Kim。
　　Windows XP为每一个登陆用户创建一个WTS会话（Session）。每个运行进程总是与这样一个Session关联。Windows XP的任务管理器允许你列出进程清单，不论是针对所有会话的还是仅仅针对自己的会话，任务管理器对话框的进程标签中有一个"显示所有用户的进程"复选框可以对此进行选择。
................. 阅读全文

posted @ 2007-07-22 00:28 009 阅读(1675) | 评论 (0) | 编辑收藏

“黑客之门”后门的魅力(ZT)

摘要: 　“黑客之门”介绍

　　黑客之门采用的目前一些先进的后门技术，它只有一个Dll文件，通过感染系统文件启动自身，被感染的系统文件大小和日期都不会改变；同时采用线程插入技术，本身没有进程；本身不开端口，而是重用系统进程开的任意一个端口，如80，135，139，445等，因此它的隐藏性非常好，而且穿透防火墙也是很容易的事。这个版本文件不大，只提供一些很有用的命令。目前还没有发现如何工具能查到这个后门，象Fport，Llister，RKDetector等查工具都失效。

　　程序的自启动

　　既然是一个后门，那么就要随系统的启动而启动，根据黑客之门的介绍，它是通过感染系统程序文件来实现程序的自启动的。既然是感染了系统文件（像病毒），那就看看感染前和感染后的系统文件的区别吧！为了测试感染前后的差别，我准备了一个专门用来被感染的文件TestLoad.exe，它没有什么功能，只是弹出一个对话框，这样好等待测试，麻雀虽小，五脏俱全，省得动系统文件了。接着运行命令：
................... 阅读全文

posted @ 2007-07-22 00:09 009 阅读(816) | 评论 (0) | 编辑收藏

破解所谓的“网页源代码加密”

摘要: 之前见过这段代码，觉得用view-source就可以了就没记，现在这招不好用了，前段时间死活找不到这段代码，这回不能放过了
在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
............. 阅读全文

posted @ 2007-07-21 14:23 009 阅读(471) | 评论 (0) | 编辑收藏

获取通过终端登录的当前用户winlogon进程pid

摘要: /*此代码用于获取通过终端登录的当前用户winlogon进程pid
在开了终端服务的机器上运行没问题，没有开终端服务的得不到pid，自己修改吧
Author:009
Email:baicker.009(a)gmail.com
Web:http://www.blogjava.net/baicker
Date:20070720
*/

#include <stdio.h>
#include <windows.h>
#include <wtsapi32.h>

#pragma comment(lib, "wtsapi32.lib")

void main()
{
DWORD ProcessId, SessionId;
BOOL Res=0;
DWORD winlogonPid = 0;
............
阅读全文

posted @ 2007-07-21 13:42 009 阅读(781) | 评论 (0) | 编辑收藏

当当网礼券

摘要:
薯片里面的，谁要谁拿去
卡号：LAY6651112001144374
密码：978256
阅读全文

posted @ 2007-07-21 12:47 009 阅读(307) | 评论 (0) | 编辑收藏

浅析本机API(ZT)

摘要:
此文只能说是一篇笔记，是关于本机API的.本机API是除了Win32 API，NT平台开放了另一个基本接口。本机API也被很多人所熟悉，因为内核模式模块位于更低的系统级别，在那个级别上环境子系统是不可见的。尽管如此，并不需要驱动级别去访问这个接口，普通的Win32程序可以在任何时候向下调用本机API。并没有任何技术上的限制，只不过微软不支持这种应用开发方法。
User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll, advapi32.dll,version.dll等dll代表了Win32 API的基本提供者。Win32 API中的所有调用最终都转向了ntdll.dll，再由它转发至ntoskrnl.exe。ntdll.dll是本机 API用户模式的终端。真正的接口在ntoskrnl.exe里完成。事实上，内核模式的驱动大部分时间调用这个模块，如果它们请求系统服务。 Ntdll.dll的主要作用就是让内核函数的特定子集可以被用户模式下运行的程序调用。Ntdll.dll通过软件阅读全文

posted @ 2007-07-20 12:32 009 阅读(268) | 评论 (0) | 编辑收藏

汇编ring3下实现HOOK API续之备份函数法(ZT)

摘要: 我曾经写过一编文章,名字叫"汇编ring3下实现HOOK API",里面详细介绍了汇编ring3下实现HOOK API的几种方法,文章中着重介
绍了介绍了"改写内存地址JMP法"的方法,这也是比较通用的一种方法,让我们再来回顾一下改写内存地址JMP法的具体方法::
直接跳转，改变API函数的入口或出口的几个字节，使程序跳转到自己的函数,该方法不受程序加壳的限制。这种技术,说起来也不
复杂，就是改变程序流程的技术。在CPU的指令里，有几条指令可以改变程序的流程：JMP，CALL，INT，RET，RETF，IRET等指令。理
论上只要改变API入口和出口的任何机器码，都可以HOOK,下面我就说说常用的改写API入口点的方法:
因为工作在Ring3模式下,我们不能直接修改物理内存,只能一个一个打开修改,但具体的方法又分成好几种,我给大家介绍几种操
作思路:
....... 阅读全文

posted @ 2007-07-13 14:23 009 阅读(1039) | 评论 (2) | 编辑收藏

汇编ring3下实现HOOK API (ZT)

摘要:
=====[ 1. 内容 ]=============================================

1. 内容
2. 介绍
2.1 什么叫Hook API?
2.2 API Hook的应用介绍
2.3 API Hook的原则
3. 挂钩方法
3.1 改写IAT导入表法
3.2 改写内存地址JMP法
4. 汇编实现
4.1. 代码
4.2. 分析
5. 结束语
=====[ 2. 介绍 ]================================================
这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT4.0
及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。
你应该比较熟悉Windows下的进程、汇编器、和一些阅读全文

posted @ 2007-07-13 14:19 009 阅读(902) | 评论 (0) | 编辑收藏

未公开函数MessageBoxTimeOut 实现定时消息(ZT)

摘要: #include
#include

//Functions & other definitions required-->
typedef int (__stdcall *MSGBOXAAPI)(IN HWND hWnd,
IN LPCSTR lpText, IN LPCSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);
typedef int (__stdcall *MSGBOXWAPI)(IN HWND hWnd,
IN LPCWSTR lpText, IN LPCWSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);

int MessageBoxTimeoutA(IN HWND hWn 阅读全文

posted @ 2007-07-13 13:57 009 阅读(4341) | 评论 (0) | 编辑收藏

关闭SFC[文件保护]的源代码(ZT)

摘要: WindowsXP Professional SP2测试通过.

.386
.Model Flat,StdCall
Option CaseMap :None

Include \Masm32\Include\Windows.inc
Include \Masm32\Include\User32.inc
Include \Masm32\Include\Shell32.inc
Include \Masm32\Include\Kernel32.inc
Include \Masm32\Include\Advapi32.inc
.......... 阅读全文

posted @ 2007-07-13 13:36 009 阅读(1163) | 评论 (0) | 编辑收藏

编程禁止Windows文件保护(ZT)

摘要: 这里要用到一个未公开的API——SfcFileException，其声明如下：
代码:
DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);
参数说明： dwUnknown0 未知，设为0
pwszFile 文件名
dwUnknown1 未知，设为-1
........... 阅读全文

posted @ 2007-07-13 12:38 009 阅读(417) | 评论 (0) | 编辑收藏

HP-UX安全加固使用手册(ZT)

摘要: 一、基本系统管理
1、常用命令
1. # ioscan -fn
列出各I/O卡及设备的所有相关信息：如逻辑单元号，硬件地址及设备文件名等。
2. # ps -ef
列出正在运行的所有进程的各种信息：如进程号及进程名等。
3. # netstat -rn
列出网卡状态及路由信息等。
4. # lanscan
列出网卡状态及网络配置信息。
......

阅读全文

posted @ 2007-07-12 14:06 009 阅读(554) | 评论 (0) | 编辑收藏

清空系统密码(ZT)

摘要: 这东西再放都长毛了,放出来....精灵还写了个利用工具,找不到了.回头补上..

system32下有个msv1_0.dll

xp sp2
F8 10 75 11 B0 01 8B 4D
修改为
E0 00 75 11 B0 01 8B 4D

2k professinal
F8 10 0F 84 71 FF FF
修改为
E0 00 0F 84 71 FF FF
阅读全文

posted @ 2007-07-10 17:39 009 阅读(413) | 评论 (0) | 编辑收藏

我普通话不标准？

摘要: 一出租车司机，我说到天苑酒店，说半天，死活不知道哪里，最后到目的地，没好气地说：天"月"啊，你发音不标准，说天"月"不就行了

整天徘徊在杀与不杀之间，很痛苦

问我是哪里人，”kao，你管我哪里人“

阅读全文

posted @ 2007-07-05 18:23 009 阅读(250) | 评论 (0) | 编辑收藏

把股票小小地强奸了一把

摘要: 在晚节不保前，好歹也算是全身而退了，赚了二十四块四毛钱加一段股票经历
TMD涨五天的钱不够跌一天
基金就不退了，虽然也是0.0x，0.1x个百分点地涨，偶尔1.xx，2.xx个百分点地跌，长期持有我想不会亏的

阅读全文

posted @ 2007-06-22 17:45 009 阅读(249) | 评论 (0) | 编辑收藏

去除OmniPeek发包不能伪造源MAC的限制(ZT)

摘要: --------------------------------------------------------------------------
目录:

☆ 去除OmniPeek发包不能伪造源MAC的限制
☆ 参考资源

--------------------------------------------------------------------------

☆ 去除OmniPeek发包不能伪造源MAC的限制

1259@netexpert发了个贴，说OmniPeek发包时不能伪造源MAC，即使在数据窗口中指
定了虚假MAC，发送出去时也被自动修正成真实源MAC。而Sniffer Pro没有这个限制。
finger@netexpert测试了一番，证实了这个说法。我乍一看到还不很信，也测试了一
番，果然。WildPackets为什么要加这个限制，懒得深究了，于我看来无非是些掩耳
盗铃之举。反正这个限制我不想要。去除这个限制也很简单，下阅读全文

posted @ 2007-06-21 17:14 009 阅读(1900) | 评论 (0) | 编辑收藏

很酷的网络硬盘

摘要:

阅读全文

posted @ 2007-06-20 19:03 009 阅读(347) | 评论 (0) | 编辑收藏

hh.exe的隐藏参数,反编译chm文件(ZT)

摘要:
HH.EXE -decompile <输出路径> <目标chm文件>

阅读全文

posted @ 2007-06-14 21:47 009 阅读(581) | 评论 (0) | 编辑收藏

Linux 下 OpenVPN 安装和 Windows OpenVPN GUI 安装笔记(ZT)

摘要: 　基于伟大的 GFW 越来越牛Ｂ，网站的正常维护如 FTP、pop & smtp 的邮件收发、在 google 查技术资料，都经常被 GFW 强行断开。为了解决这个问题，于是我在自己的国外主机上安装了一个 OpenVPN，当时记录了一下安装的经过。今天正好又能一个朋友问及 OpenVPN 安装的事情，于是我重新整理一下这篇Linux 下 OpenVPN 安装和 Windows OpenVPN GUI 安装笔记(http://www.xiaohui.com/dev/server/20070514- install-openvpn.htm), 希望对大家有所帮助.
...........
阅读全文

posted @ 2007-06-10 14:57 009 阅读(1876) | 评论 (0) | 编辑收藏

Load and Unload (ZT)

摘要: 一、前言

在前一段时间，我遭遇了一个现象诡异的Bug，最后原因归结为在DllMain里错误地调用了FreeLibrary(在本文最后对此Bug有详细的解释)。MSDN里关于禁止在DllMain里调用 LoadLibrary和FreeLibrary的解释过于含糊不清，所以我重温了一遍Russ Osterlund的"Windows 2000 Loader"一文，并仔细阅读了泄漏的Win2000源代码的相关部分。按照我一贯的习惯，我的阅读过程形成了我这篇文章的主体。自从我2000年写了"ATL接口映射宏详解" 以来，我还没写过这么大块头的文章。我不知道有多少人耐着性子看完了"ATL接口映射宏详解"，我猜想这篇文章的命运也不会比它的前辈好多少。在这个技术更新越来越快的年代里，人们会对这种陷入实现细节的文章感到厌烦，而我自己在若干年后可能也不会有耐心和勇气面对它，但文章最后对几个问题的解释也还是有实用价值的，另外寻根究底的精神也总是应该存在的。
..............
阅读全文

posted @ 2007-05-31 23:46 009 阅读(1987) | 评论 (0) | 编辑收藏

Windows NT使用技巧、编程原理及程序示例(ZT)

摘要: 1. 利用Net User命令和Cacls命令做用户管理
2. 利用At命令做日程管理
3. 利用用户登录脚本实现开机提示
4. 利用Net Session命令实现登录用户统计
5. Windows NT局域网管理API函数库（NETAPI）简介
6. 怎样添加、删除、配置用户？
7. 怎样修改用户口令？
8. 怎样编程实现用户的注销和关机？
9. 怎样获取所有登录用户列表？
10. 怎样向用户或计算机发送消息？
11. 怎样实现远程关闭计算机？
12. UNICODE字符串和普通ASCII字符串怎样转换？
13. 如何获取系统错误信息？
14. 什么是Service（服务）程序？
15. 如何使自己的应用程序成为Service?
16. 如何编制Service程序?
..................
阅读全文

posted @ 2007-05-31 23:42 009 阅读(2499) | 评论 (1) | 编辑收藏

公告

常用链接

留言簿(113)

随笔分类

随笔档案

文章分类

相册

Link

搜索

最新评论

阅读排行榜

评论排行榜

酒水不犯茶水叶的离去，是风的追求还是树的不挽留？
BlogJava \| 首页 \| 发新随笔 \| 发新文章 \| 联系 \| 聚合 \| 管理	随笔：325 文章：0 评论：612 引用：0