aoebug-CSDN博客

转载 DLL注入浅析（下）

DLL注入浅析（下）这一篇文章主要讲基于CreateRemoteThread的DLL注入，最后会以一个游戏修改器来结束此文。关于DLL注入有注册表注入和远程线程注入两种方式。此文主讲远程线程注入（即CreateRemoteThread）。1. LoadLibrary载入DLL2. CreateRemoteThread远程注

2016-09-08 15:31:34 855

说起DLL劫持技术，相信大家都不会陌生，因为这种技术的应用比较广泛，比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱，主要是因为该技术可以有效的躲过大部分杀软，并且实现起来技术难度不大。DLL劫持技术也不是什么新技术，记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说，DLL劫持技术就显得很神秘了，本系列教程将

2016-09-08 10:09:21 2357

转载 Win7下实现 lpk.dll劫持游戏注入

原 http://www.voidcn.com/blog/u011619422/article/p-2289102.html由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索 DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果没找到，则在 Windows系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的D

2016-09-08 10:02:28 1274

转载 powershell对注册表的一般操作

powershell对注册表的一般操作建立一个新的key(相当于文件夹)md或者new-itemmd hklm:\software\mysoftwarenew-item -path hklm:\software -name mysoftware建立一个新的键值(相当于文件)由于注册表跟文件系统不太一样,所以建立新的键值跟建立新的文件也不一样,注册表是用new-itemp

2016-09-08 09:53:37 2246

原创 PowerShell由进程名获取PID

利用管道赋值给$id$id = Get-Process -name explorer* | Select-Object id | ForEach-Object -Process{$_.id}$id

2016-09-02 16:49:31 6768

转载 PowerShell强大管道

PowerShell强大管道详见 http://www.cnblogs.com/whitewolf/archive/2012/06/09/2543247.html PowerShell是在Window是的外壳语言，提供了多Windows的更多操作，让我们于windows的操作更简单方便，以及就是就是管理员的命令行更好的管理。PowerShell提供了与.net FC

2016-09-02 16:47:10 691

转载 Powershell对象选择，排序和变量存储

Powershell对象选择，排序和变量存储PowerShell基础教程（17）——对象的选择、排序和变量存储可以使用 Select-Object cmdlet 来创建新的、自定义的 Windows PowerShell 对象，后者包含的属性是从用于创建他们的对象中选择的。键入以下命令可创建新对象，该对象仅包含 Win32_LogicalDisk WMI 类的 Name 和Fr

2016-09-02 16:44:59 826

转载 Python print函数用法，print 格式化输出

Python print函数用法，print 格式化输出使用print输出各型的字符串整数浮点数出度及精度控制strHello = 'Hello Python' print strHello#输出结果：Hello Python#直接出字符串1.格式化输出整数python print也支持参数格式化，与C言的printf似

2016-09-01 09:02:36 978

转载 Python文件读写

你想通过Python从文件中读取文本或数据。一.最方便的方法是一次性读取文件中的所有内容并放置到一个大字符串中：all_the_text = open('thefile.txt').read( ) # 文本文件中的所有文本 all_the_data = open('abinfile','rb').read( ) # 二进制文件中的所有数据

2016-08-31 10:57:26 306

转载如何使用WinHex脚本自动修复FAT32文件系统DBR

如何使用WinHex脚本自动修复FAT32文件系统DBR 此脚本不是去复制备份的DBR，而是通过文件系统计算BPB参数，来达到修复文件系统的目的，下面是脚本： Assign ParSize GetSizeAssign SecSize 512Goto 0x000Write 0xEB5890Write 0x4D53444F53352E30

2016-08-25 17:50:09 4117

转载 winhex脚本命令教程--中文版

winhex脚本命令教程--中文版脚本命令适用的环境比较多。脚本文件中的注释以为双斜杠开头。脚本支持的最长255字符的参数。有疑点的地方是十六进制，文本字符串（甚至10进制数值）都可以作为参数，你可以使用引号强制转换数字参数为文本参数。如果文本或者变量名中存在空格，则引号是必须的，在引号中的所有字符都被被识别成一个参数而存在。当在winhex中使用数学表达式的时候，

2016-08-25 17:27:26 8579 1

转载 Office 可以插入和保存的图形文件类型

可以插入和保存的图形文件类型适用于: Word for Mac 2011可以在 Office 文档中插入的图形文件类型你的 QuickTime 版本中可打开的任何图形文件类型可能也可以在 Office 中打开。可以在 Office 文档中插入下面列出的任何图形文件类型。插入的图形文件保存在 Office 文档中。文件类型

2016-08-04 16:16:37 1141

转载 Notepad++插件介绍&下载地址

Notepad++插件介绍&下载地址 Notepad++ 是一款非常有特色的编辑器，是一款开源软件，支持的语言: C, C++ , Java , C#, XML, HTML, PHP, Javascript。下面介绍下国人常用的插件插件下载地址（实时更新）：http://sourceforge.net/projects/npp-plugins/file

2016-08-04 10:08:21 2001

转载关于循环位移指令ROL,RCL ;逻辑右移指令 SHR , 算术右移指令 SAR

关于循环位移指令ROL,RCL ;逻辑右移指令 SHR , 算术右移指令 SAR书上说 ROL的功能为，对操作数进行循环左移，每执行一次，把最高位移到最低位，同时还把最高位移到CF那么 CF=0 AL=10100000 ROL AL，1 AL的内容为？ CF为？ CF=0 AL=10100000 CL=2 ROL AL,CL AL的内容为？CF为？而

2016-07-29 17:18:15 11771 2

转载 WinDBG技巧：在加载/卸载一个DLL 的时候下断点

加载某个DLL 的时候下断点的WinDBG 命令：sxe ld:[dll name]卸载某个DLL 的时候下断点的WinDBG命令：sxe ud:[dll name]比如：sxe ld:wininet (在wininet.dll 被装载的时候断点)还可以通过直接在DllMain下断点来达到相同目的：bu wininet!DllMain

2016-07-27 16:56:25 1037

转载 Windbg调试程序

Windbg调试程序WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试，我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如何得到帮助在命令（Command）窗口中输入.hh 命会调出帮助文件令

2016-07-22 21:39:08 861

转载思路:如何跳过CreateProcess调用底层创建进程函数

论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。我想说的是不能单纯看这个问题，首先不同NT内核版本CreateProcess进入底层的路径是不同的:2k ->NtCreateProcessxp ->NtCreateProcessExvista/win7/2008 ->NtCreateUserProcess

2016-07-22 21:24:00 1217

转载 Windbg实用手册

Windbg实用手册Windbg工作中用的不多，所以命令老是记不住，每次使用都要重新查命令，挺烦。趁这次培训的机会好好测试和总结了一下，下次再用就方便多了。在这里一起共享一下，如果有错误，请指正。基本知识和常用命令（1） Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg4630

2016-07-22 17:57:10 953

转载 windbg 脚本简单入门

标题: 【原创】windbg 脚本简单入门作者: evileagle时间: 2013-10-31,23:04:24链接: http://bbs.pediy.com/showthread.php?t=180879在Windows调试器这个圈子里，Windbg作为微软的亲儿子，其名气可谓无人不知，就算你没用过，那你肯定也听说过。Windbg的功能自然不必说，集内核调试，

2016-07-22 17:46:01 708

转载 DLL的线程中创建WINDOWS窗口并接收U盘移动磁盘插入消息

DLL的线程中创建WINDOWS窗口并接收U盘移动磁盘插入消息这个问题注意以下几个关键点1.DLL的句柄的传入2.线程中的消息循环HINSTANCE g_hInstance;TCHAR U[2]; //保存U盘的盘符 TCHAR FirstDriveFromMask(ULONG unitmask) { char i; fo

2016-07-22 17:30:20 361

转载 Windbg查看函数的参数

用Windbg挂载到notepad.exe中，在CreateFile函数上下断点0:001> bp kernel32!CreateFileW0:001> bp kernel32!CreateFileA在notepad上选择保存，Windbg停止在CreateFileW的入口点Breakpoint 1 hiteax=00000000 ebx=00000001 ecx=0007

2016-07-22 17:27:50 8920 2

转载指定进程启动时Windbg自动Attach

指定进程启动时Windbg自动Attach 1. 在Windbg安装目录中找到gflags.exe2. 配置信息3. 保存运行a.exe时就会自动Attach上。实际这个工具是在注册表添加了一个键值，具体如下：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Fi

2016-07-22 16:48:12 2644

转载 Windbg 自动加载到启动的进程

有时候你的dll需要注入到别人的exe中，使用ida是可以进行源码调试的，发现使用windbg来进行源码调试更方便现在把这些记下来备忘吧，自己的dll注入到别人的exe中经常需要exe在启动的时候就能够使用windbg断下来查看当前情况，两步就可以完成。以要注入的exe名称为ABC.exe为例：首先在注册表中创建一项，在HKEY_LOCAL_MACHINE/SOFTWA

2016-07-22 16:47:02 2226

转载 SPL - Microsoft® Windows Spool File Format

SPL - Microsoft® Windows Spool File FormatIntroductionThe print job's spooled data is contained in a spool file.For each print job there are two spool files generated by the Windows®

2016-07-22 16:40:04 1152

转载设置windows的默认调试器

windows操作系统有一个默认调试器设置，使程序出现崩溃时，自动调用这个调试器进行调试。这个设置在windows的注册表中，对于32位操作系统：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug/Debugger，对于64位操作系统：HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432N

2016-07-22 11:35:43 2262

aoebug的博客