herx1-CSDN博客

原创这两天干的最无聊的事情

没想到这两天做了这么些无聊的事情，想起来真的很可笑，也很无奈。。。。

2010-04-11 09:19:00 627

原创随笔

”有时候，在你动手之前，你不可能预测实际成果“ ——《茶花女》萧伯纳

2010-03-15 13:08:00 461

转载 eversing Microsoft Visual C++ Part II: Classes, Methods and RTTI

Reversing Microsoft Visual C++ Part II: Classes, Methods and RTTIThursday, September 21 2006 15:56.06 CDTAuthor: igorsk # Views: 25842 Printer Friendly .AbstractMicrosoft Visual C++ i

2009-03-13 09:24:00 1181

转载 Reversing Microsoft Visual C++ Part I: Exception Handling

openrce上的文章，看的时候顺便转在这，方便以后看。http://www.openrce.org/articles/full_view/21Reversing Microsoft Visual C++ Part I: Exception HandlingMonday, March 6 2006 12:02.38 CSTAuthor: igorsk # Views: 3665

2009-03-13 08:15:00 1425

原创搞了两天测量

一直听说测量很累，这几天真正的体验了一下，搞测量的感觉，总的来说没做几天，就三两天，确实是有点累，不过还是很好玩的，整天爬山，好久没有爬过山了，还是很有新鲜感的，说实话爬完山的感觉还是很爽的，又累又饿然后吃饭吃什么都香。

2008-11-25 21:48:00 588

转载 linux系统调用实现代码分析

linux系统调用实现代码分析启动早就读完，现在为了写笔记再从启动之后粗略的大体读一遍，基本就是几个大模块：启动和初始化，中断信号，进程及调度，内存管理，文件系统，网络，驱动和模块等，我主要也从这几块入手。由于启动部分在start_kernel之前牵涉到大量的x86体系相关的汇编知识，需要大量的时间，于是我跳过，先把握整个系统的大体脉络，然后做二次，三次分析。网络部分的分

2008-10-30 19:24:00 666

原创 Detecting Loadable Kernel Modules (LKM)

在学linux内核rootkit 时看过的一篇文章，介绍检测linux内核rootkit的一些方法。 Detecting Loadable Kernel Modules (LKM)Purpose The purpose of this paper is cover LKM basics, detecting "trojaned" LKMs and figuri

2008-10-30 19:23:00 920

翻译 X64处理器架构

X64处理器架构（翻译的windbg帮助文档）X64处理器架构X64架构是一个向后兼容的扩展的x86。提供了和x86相同的32位模式和一个新的64位模式。术语“x64”包括AMD 64 和Intel64，他们的指令集基本是相同的。寄存器（Registers）X64将x86的8个通用寄存器扩展为64位，并且增加8个新的64位寄存器。64位寄存器命名以“r”开始，例如：eax扩

2008-10-24 09:14:00 15289

转载常用的加密解密方法收藏

function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http://www.365key.com/store

2008-08-29 18:21:00 720

原创注册卫星地图下载器2008

注册卫星地图下载器2008注册简单分析昨天晚上同学拿给这个软件，看一下又没加壳，又是Microsoft Visual C++ 7.0 Method2 [Debug]很奇怪都是调试版的，就搞不清楚为什么发布的软件都用调试版的，而且有注册提示，很容易找到关键地方，想一下类似这样的软件应该属于一两分钟的事，但是还是出现了意想不到的事，首先软件od载入，运行后就脱离了调试器，调试器中的进程终止，只能先运

2008-08-25 10:04:00 1806 3

转载 45个经典蓝屏案例一一破解

45个经典蓝屏案例一一破解2008-07-26 10:26NT内核的操作系统采用的是分层管理结构(层又称为模式)，主要有用户层(User Mode)和内核层(Kernel Mode)，我们可以通过下面这个形象的比喻来理解Windows的运行规范和蓝屏起因。平时产品制造厂运行得有序而高效，每个生产小组加班加点制造各种用途的产品，工厂里有个极为严格的规定，那就是不管要用什么

2008-08-20 19:06:00 1433

转载 MS SQL Server 2005网络服务器配置方法

项目使用SQL SERVER 2005数据库，以前玩过2000的，2005还是有些区别的，把服务器放在主机上，小组内的其他成员访问，很简单的事却搞了一天，老是出现错误，不得不网上搜索解决的方法和自己摸索，最终配好了，下面把配置的方法拿出来共享，这样大家可以节约时间，免得再去一个一个的查。这个配置方法在我的机器上是可以的，有些记不清了，如果有问题，欢迎提出来修改。

2008-08-20 18:53:00 2979 1

原创 SysAuto病毒简单分析（一个盗QQ木马）

首先用PEID查看是用UPX加壳，脱掉后显示为Delphi。从文件最后读出文件大小（已加密），XOR解密后得到真正的文件大小。下面是简单的分析过程：将病毒文件及启动文件autorun.inf复制到E盘，然后设置文件隐藏属性0040484C /$ 55 push ebp0040484D |. 8BEC mov ebp,esp

2008-08-19 09:07:00 1611

原创磁盘机病毒驱动部分逆向分析

;对磁盘机病毒驱动部分进行逆向分析，这是简单的逆向代码，可以了解磁盘机驱动部分的原理。 .386 .model flat, stdcall option casemap:none;+++++++++++++++++++++++++++++++++++++++++++++++++++++; include文件定义;++++++++++++++++++++++++++++++++++++++

2008-08-19 08:51:00 743

原创 yoda 1.0x Protector和PECompact 2.x双层壳脱壳笔记

下面是脱壳的简单记录：程序开始处：00465060 > 55 push ebp00465061 8BEC mov ebp, esp00465063 53 push ebx00465064 56 push esi00465065 57

2008-07-26 13:52:00 1805

转载 HP中国前总裁孙振耀致大话IT网友：关于工作与生

主题：HP中国前总裁孙振耀致大话IT网友：关于工作与生活 show_item("490048","body");普通人　　我发现中国人的励志和国外的励志存在非常大的不同，中国的励志比较鼓励人立下大志愿，卧薪尝胆，有朝一日成富成贵。而国外的励志比较鼓励人勇敢面对现实生活，面对普通人的困境，虽然结果也是成富成贵，但起点不一样，相对来说，我觉得后者在操作

2008-06-25 20:45:00 642

原创 Microsoft windows internals 学习笔记（4）

对象管理器： windows内部有两种类型的对象：执行体对象和内核对象。执行体对象是指由执行体的各种组件所实现的对象。内核对象是指由windows内核实现的一组更为基本的对象，对用户模式代码不可见。执行体对象包含了一个或多个内核对象。

2008-04-30 12:30:00 705

翻译 Kmd--10注册表

注册表10.1 注册表结构注册表（Registry）——系统配置和管理中起重要作用的一个中心数据库。他的结构与注册驱动的结构是类似的，但是注册表不是静态存储在硬盘上而是在系统中动态改变的。注册表是由键组成的，存储在硬盘目录中。最高层的键被称为根键或主键。根键是一个包含其他子键(subkeys)或值(values)的容器。类似于硬盘上的文件。值用来保存合适的数据。配置管

2008-04-30 11:10:00 1173

翻译 kmd--9共享内存（Share memory）

在前一个例子SharedSection中，我们共享内存区通讯。这个驱动紧紧关联到用户模式进程的地址空间，也就是驱动所用的虚拟地址在进程空间地址中。这个例子中我们用的这个方法，没有这个缺点，对于驱动来说这个方法更适合。9.1 SharingMemory驱动的源码首先，驱动的功能。;@echo off;goto make;:::::::::::::::::::::::::::

2008-04-17 18:25:00 2444

翻译 kmd--8共享内存区通讯（Share section）

这是学习kernel model driver（KMD）时翻译的一篇文章，大体意思差不多，但表达不好，欢迎指出其中的不足。。源码是用汇编写的。翻译的比较匆忙，没有校对。希望不会有太多的错误。在直接进入文章的主题前，先来简单看一下结构化异常处理，(Structured Exception Handling, SEH),因为我们需要用到他。8.1 构造异常处理如果你还不知道什么是SH

2008-04-15 23:12:00 1576

原创 Microsoft windows internals 学习笔记（3）

中断对象：内核提供了一种可移植的机制使得使得设备驱动程序可以为他们的设备注册ISR，是一个称为中断对象的内核控制对象。中断对象包含了所有“供内核将一个设备的ISR与一个特定级别的中断关联起来而需要的信息。”包括ISR地址，该设备中断时所在的IRQL以及域该ISR相关联的IDT。调试器可以查看中断对象的细节：！idt打开中断描述符表信息lkd> dt nt!_kinterrup

2008-04-09 22:05:00 661

原创 Microsoft windows internals 学习笔记（2）

x86中断控制器：绝大多数x86系统依赖于i8295A可编程中断控制器（PIC）或者i82489高级可编程中断控制器（APIC）的一个变种。 x64中断控制器： x64体系结构依赖于改进的高级可编

2008-04-09 22:03:00 786

原创 Microsoft windows internals 学习笔记（1）

陷阱分发：陷阱（trap）指的是异常或中断发生时处理器扑捉到一个执行线程，并将控制权转移到操作系统某一固定地址处。windows中控制权转移给一个陷阱处理器（trap handler）,与某个异常或中断相关联的函数。

2008-04-09 21:48:00 565

转载 FAT16文件系统解析（C#版本）

下图是用文件浏览器查看的结果。磁盘系统的MDR和DBR信息如下。为了便于后来者，把主要的结构声明代码罗列如下，希望有借鉴意义。//基本类 [叶帆工作室] http://blog.csdn.net/yefanqiu/public class DiskBase{ #region //MBR http://blog.csdn.net/y

2008-03-20 19:16:00 1422 1

转载 Solaris学习笔记(3)

作者: BadcoffeeEmail: [email protected]: http://blog.csdn.net/yayong2006年3月很久以前就看过alert7写的那篇ELF 动态解析符号过程(修订版)，大概是他在学习ELF文件格式时写的吧。OpenSolaris之后，其内核所有代码全世界都可以访问到，于是就有了这篇文章。本文仅用于学习交流目的，因此没有经过严格校对，

2008-03-20 19:12:00 843

转载 ELF动态解析符号过程(修订版)

by alert7 2002-01-27转载自：http://elfhack.whitecell.org★★ 前言本篇文章以linux为平台为例，演示ELF动态解析符号的过程。不正之处，还请斧正。通常，ELF解析符号方式称为lazy MODE装载的。这种装载技术是ELF平台上默认的方式。在不同的体系平台在实现这种机制也是不同的。但是i386和SPARC在大部分上是相同的。动态连接器

2008-03-20 19:11:00 640

转载超强的指针学习笔记

摘录的别人的:C语言所有复杂的指针声明，都是由各种声明嵌套构成的。如何解读复杂指针声明呢？右左法则是一个既著名又常用的方法。不过，右左法则其实并不是C标准里面的内容，它是从C标准的声明规定中归纳出来的方法。C标准的声明规则，是用来解决如何创建声明的，而右左法则是用来解决如何辩识一个声明的，两者可以说是相反的。右左法则的英文原文是这样说的：The right-left rule: St

2008-03-20 19:10:00 523