huanongying131-CSDN博客

可变参数的宏：1. 可变参数的宏是C99规范开始支持的，具体用法如下： #define debug(…) printf(__VA_ARGS__) 缺省号代表一个可以变化的参数表。使用保留名 __VA_ARGS__ 把参数传递给宏。当宏的调用展开时，实际的参数就传递给printf()了。如果缺省号之前有逗号，就要写成下面的形式： #d...

2019-08-19 11:43:26 1140

原创 windbg winapi

查看ProcessIdToSessionId函数，属于kernel32.dll1.查看函数地址x kernel32!ProcessIdToSessionId2. 下断点bpkernel32!ProcessIdToSessionId

2019-08-08 11:15:55 312

原创 _KUSER_SHARED_DATA 结构查看

windbg双机调试：kd> !dml_proc //1 Address PID Image file name863df8a8 4 System 87863448 108 smss.exe ...

2019-08-08 10:49:20 2255

原创 git 教程

转：https://www.liaoxuefeng.com/wiki/896043488029600https://sspai.com/post/47694

2019-08-07 17:30:07 137

原创 win d 屏蔽（窗口被隐藏最小化问题)

HWND g_hMain = NULL;#define ZPOS_FLAGS (SWP_NOMOVE | SWP_NOSIZE | SWP_NOOWNERZORDER | SWP_NOACTIVATE | SWP_NOSENDCHANGING)void CALLBACK WinEventProc(HWINEVENTHOOK hWinEventHook, DWORD event...

2019-07-22 21:17:38 1816

原创防火墙操作

转：https://blog.51cto.com/xiaoli110/1080426remwindows防火墙匹配原则 rem1优先匹配安全连接规则 rem2匹配阻止的规则 rem3匹配允许的规则 rem4按照默认策略匹配，一般是阻止，除非做了修改 rem所有如果有端口有些ip允许，有些不允许，应该写一个允许规则，然后将允许的ip加入到规则中，不需要再...

2019-07-15 10:24:45 324

原创 windbg ida dump

驱动代码：蓝屏dump分析：ida 查看蓝屏代码：蓝屏地址： 0x180000000 + 0x2 = 0x180000002ida定位地址：

2019-07-13 00:28:23 244

转载 gflags 监控内存分配、检查内存泄露

转：https://blog.csdn.net/Scarlett_OHara/article/details/89399078 https://blog.csdn.net/ybdesire/article/details/71304364 https://blog.csdn.net/listener51/article/details/78106185想要知道程...

2019-07-10 19:46:25 1669

原创 Dip 缩放比例

double DipToZoom(_In_ int dip){ double dRet = 1.0; switch (dip) { case 96: dRet = 1.00; break; case 120: dRet = 1.25; break; case 144: dRet = 1.50; break; case 192: dRet = 2.0;...

2019-06-29 14:41:55 499

原创收集github

https://github.com/SecWiki/windows-kernel-exploitshttps://github.com/Al1ex

2019-06-20 10:57:33 148

原创 windbg .frame /c

.frame /c FameNumber1.代码例子：2.windbg调试进程4.帧栈3.查看帧栈14.查看栈帧25.从中可以看出 .frame /c执行后 eip显示的是下一条指令的地址。 esp是切换栈帧时的值。比如3中的栈帧1。eip是 call WindbgFrame!Frame0的下一...

2019-06-11 20:31:20 537

原创 windbg 源码调试（驱动层）

参考：https://www.cnblogs.com/QKSword/p/10479702.htmlwin7驱动测试环境设置：1.设置系统测试环境： 2.对驱动进行签名：一．源码调试：1.双机调试连接虚拟机（w...

2019-06-10 14:46:19 975

原创进程卡住线程栈分析记录

nsi卸载进程卡住：自卸载调用的函数：MoveFileEx （PendingFileRenameOperations MOVEFILE_DELAY_UNTIL_REBOOT 开机延迟删除）使用Process Explorer查看进程：卡住的两个线程。查看线程栈：SeAccessCheckWithHint+0xb4a卡住。https://social...

2019-06-05 18:05:10 1042

原创软件调试实战：windbg 内核调试（lkd kd ）

http://advdbg.org/books/swdbg/samples.aspx一，本地内核调试( lkd )：管理员权限启动windbg，ctrl + k --> Local二，查看进程数据结构1.启动计算器2. !process 0 0 列出系统内的所有进程3. dt _EPROCESS 88270030 ...

2019-06-04 19:23:53 4578

原创 windows 开发记录

troubleshooting-windows-sysinternals-tools.pdfHTA-T09-How-to-go-from-responding-to-hunting-with-Sysinternals-Sysmon.pdfRootkits_Windows内核的安全防护_CN.pdfhttps://www.ultimatewindowssecurity.com/securi...

2019-06-04 11:58:56 131

原创 windbg 源码调试（用户层）

windbg中文在线文档： http://www.dbgtech.net/windbghelp/index.html参考： https://jingyan.baidu.com/article/6181c3e0ff39b2152ef153c7.html https://www.freebuf.com/articles/system/92...

2019-06-03 01:01:47 1039

原创远程调试

虚拟机关闭防火墙（ping 不通问题）： XP：netstopsharedaccess Vista：netsh firewall set opmode disablevs远程调试： msvsmon.exe （64位还是32位由被调试进程的位数决定）: 目标主机 Windows7 x64 vs2013...

2019-06-02 23:57:26 257

原创 windbg + vmware 内核调试环境设置

windbg 符号设置：配置环境变量： _NT_SYMBOL_PATH SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols ...

2019-06-02 17:24:06 2563

转载 windows 签名证书获取

转：https://docs.microsoft.com/zh-cn/windows/desktop/SecCrypto/example-c-program-listing-the-certificates-in-a-store

2019-05-28 00:44:10 768

转载 WMI 文档

转：http://www.yfvb.com/help/wmi/index.htm?page=deleteclass_method.htm

2019-05-16 16:26:03 674

原创 Windows Security Log Events (sysmon , event log ...)

Windows Security Log Events:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspxsysmon :https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=...

2019-05-07 10:25:55 766

转载 Autoelevated COM objects, list (win7-win10)

转：https://rstforums.com/forum/topic/89060-autoelevated-com-objects-list-win7-win10/https://docs.microsoft.com/zh-cn/windows/desktop/com/the-com-elevation-moniker

2019-01-25 16:14:13 258

转载关于进程创建时在驱动下获取命令行参数的问题

转：https://www.douban.com/note/176759449/关于进程创建时在驱动下获取命令行参数的问题 robinh00d 2011-10-09 01:10:47晚上在试图解决某个问题的时候，尝试在PROCESS CALLBACK下获取命令行参数，但是在WINDBG下调试的时候1、先切换到目标进程kd> .process /p 0x825da8d8Imp...

2019-01-16 00:51:36 632

转载进程路径

转：https://www.pediy.com/kssd/pediy12/129136.html有问题找看雪进程完整路径获取方式详解标题：进程完整路径获取方式详解作者：zyhfut 时间：2011-02-10 20:23:50 链接：http://bbs.pediy.com/showthread.php?t=129136标题: 【原创】进程完整路径获取方式详解作者...

2019-01-13 23:29:47 807

转载 Windows的本地时间(LocalTime)、系统时间（SystemTime）、格林威治时间(UTC-Time)、文件时间(FileTime)之间的转换

转：https://www.cnblogs.com/FCoding/archive/2012/11/13/2767607.htmlWindows的本地时间(LocalTime)、系统时间（SystemTime）、格林威治时间(UTC-Time)、文件时间(FileTime)之间的转换首先，先从简单的说起，本地时间(LocalTime)，也就是系统设置时区的当前时间！比如说当前系统设置的时区...

2019-01-11 15:20:42 5622

转载 Windows 任务管理器中的几个内存概念

转：https://www.cnblogs.com/walfud/articles/3256233.htmlWindows 任务管理器中的几个内存概念我们使用的大部分 PC 是基于 Intel 微处理器的 x86 和 x64 架构计算机. 因此, 我们面对的 windows 避免不了和 Intel 架构有些设计上的契合. 比如接下来要说到的内存管理. 为简单起见, 我们只讨论 x86 ...

2019-01-09 09:36:11 3737

转载如何编程获取Windows NT的性能数据

转：http://blog.chinaunix.net/uid-22145625-id-3248222.html 摘要：本文较详细的介绍了如何编程获取以及计算NT的性能数据的方法，以处理器%ProcessorTime为例，给出了关键部分的实现源代码。关键字：性能监视、对象 ...

2019-01-07 14:47:27 228

转载 PsGetProcessPeb and PsGetProcessWow64Process internals

转：https://malwaretips.com/threads/psgetprocesspeb-and-psgetprocesswow64process-internals.86482/ PsGetProcessPeb and PsGetProcessWow64Process internalsDisclaimerThis content is presented solely...

2019-01-06 17:31:14 3239 1

转载 Security Accounts Manager

转：http://www.beginningtoseethelight.org/ntsecurity/index.htm Title: Security Accounts Manager | Author: [email protected] | Last updated: 3rd April 2005 ...

2019-01-04 12:05:08 2362 1

转载 msdn中文

http://www.yfvb.com/help/win32sdk/index.htm?page=html/13dsy.g.htm

2019-01-03 21:27:32 1222

转载使用jsoncpp解析json

转：https://www.cnblogs.com/yelongsan/p/4134384.html一. 使用jsoncpp解析jsonJsoncpp是个跨平台的开源库，首先从http://jsoncpp.sourceforge.net/上下载jsoncpp库源码，我下载的是v0.5.0，压缩包大约107K，解压，在jsoncpp-src-0.5.0/makefiles/vs71目录里找到...

2018-12-28 18:59:19 1346

转载 vs2010 出错：error LNK1123: 转换到 COFF 期间失败: 文件无效或损坏

转：https://blog.csdn.net/iracer/article/details/51138135 “LNK1123:转换到 COFF期间失败:文件无效或损坏”的解决方法一、错误描述之前写的程序隔段时间使用VS2010再次运行时出现如下错误：LINK fatal error LNK1123转换到 COFF期间失败文件无效或损坏二、解决方法百度了一下此问题的解决方...

2018-12-24 17:07:38 299

原创整型字符串

_itoa atoi、atof、itoa、itow _itoa_s sprintf_s ULONGLONG StrCon::StrToULongLong(_In_ std::string str){ ULONGLONG ullRet; std::stringstream strValue; strValue << str; strValu...

2018-12-18 15:30:29 371