lyb12345-CSDN博客

原创 KTHREAD的结构

_KTHREAD +0x000 Header : _DISPATCHER_HEADER +0x010 MutantListHead : _LIST_ENTRY +0x018 InitialStack : Ptr32 Void +0x01c StackLimit : Ptr32 Void +0x020 Teb

2008-10-28 23:27:00 1153

原创再谈Windows NT/2000环境切换

再谈Windows NT/2000环境切换责任编辑：admin 　更新日期：2005-8-6线程是Windows NT/2000环境切换的最基本单位。在>(Nsfocus Magazine 12)一文中,我只对进程CR3切换进行了较详细的讨论,但未涉及线程调度的内容,本文将尽量讲述这些部分内容。在这之前,还是先看看以下的代码: //--------------

2008-10-28 10:48:00 412

每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHREAD 结构定义如下kd> !strct ethread!strct ethreadstruct _ETHREAD (sizeof=584)+000 struct _KTHREAD Tcb+000 struct _DISPATCHER_HEADER Header+000 byte Type+001 byte Ab

2008-10-28 10:36:00 1566

原创取KTHREAD

805c5b9f 64a124010000 mov eax,dword ptr fs:[00000124h] 805c5ba5 8945c4 mov dword ptr [ebp-3Ch],eax ;取KTHREAD保存到变量中

2008-10-28 10:33:00 385

原创线程调度的监视

作者：pjf([email protected])出处：http://www.blogcn.com/user17/pjf/blog/4331410.html日期：2004-11-05文摘出处：https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=41969 接着上次的小话题说。上次提到因为想要无需硬编码的方案从而未选用SwapCont

2008-10-28 10:26:00 363

原创编写进程/线程监视器

创建时间：2003-03-21文章属性：原创文章来源：http://www.whitecell.org文章提交：sinister (jiasys_at_21cn.com)编写进程/线程监视器Author : sinisterEmail : [email protected] HomePage: http://www.whitecell.org （首先说明一下。有不少朋友来信问一些进

2008-10-28 10:24:00 362

原创枚举隐藏进程 PspCidTable实现法

#include #include #include "ListProc.h"/*ListProc.h的内容#pragma once//记录进程信息的结构体ProcessInfotypedef struct PROCESS_PROC {ULONG addr; //进程地址（对象（体）指针） int pid; //进程

2008-10-28 10:12:00 993

转载枚举隐藏进程hook SwapContext线程调度法

PBYTE GoBackAddr = NULL;PBYTE ChangAddr = NULL;PBYTE CallContextAddr = NULL;DWORD CallContextOffset = 0;

2008-10-28 10:09:00 991

转载 NT 内核的进程调度分析笔记

文章作者：sinister信息来源：白细胞Author: sinisterEmail: [email protected]:http://www.whitecell.org Date: 2005-11-162005-2-15众所周知 nt kernel 是多任务抢占试方式运行的，在非 SMP 系统上，每个进程分配特定的CPU 时间片来达到执行目的，这样看上去就象多

2008-10-28 10:04:00 341

原创 TCP实现P2P通信、TCP穿越NAT的方法、TCP打洞

这个标题用了两个顿号三个名称，其实说得是同一个东西，只是网上有不同的说法罢了，另外好像还有人叫TCP打孔（我的朋友小妞听说后问“要打孔啊，要不要我帮你去借个电钻过来啊？”“~！·￥%……·！”）。闲话少说，我们先看一下技术背景：Internet的迅速发展以及IPv4 地址数量的限制使得网络地址翻译(NAT,Network Address Trans2lation)设备得到广泛应用。NAT设

2008-08-05 22:08:00 279

转载 C/C++里边如何获得系统时间

ms级： #include GetTickCount() ns级: #include QueryPerformanceFrequency() cycle级unsigned int timehi , timelo; __asm{ rdtsc mov timehi , edx; mov timelo , eax; } return ((int __in

2006-03-04 12:59:00 813

原创 sniffer技术原理及应用,包括编程方法和工具使用（三）

sunxufei:哦，交换机是以MAC地址进行交换的，不是IP那一层的，要IP已经路由器了现在交换机便宜了，因此以后你想用sniffer抓密码概率不大了，不过还能多公司仍然是交换机和H UB一起用的，这样小范围内是有效地，至于ADSL CABLE FTTB,我的FTTB是用华为设计的设备,呵呵,不仅仅工网IP,只有我和交换机两个MAC(这次中国人干的不错),没希望找到第三者,很安全,但不都这样安全

2006-01-07 21:21:00 2910

原创 http://htm.winsteps.net/program/index3.htm

http://htm.winsteps.net/program/index3.htm

2006-01-07 20:52:00 599

原创一个简单的tcp filter的例子

这两天版面日渐萧条，我只好硬着头皮把我自己的一个尚在开发，非常不成熟的东西拿出来了。前面我曾经就网络加密这个议题讨论过，那个时候我提出的方法是imd，9x下就是利用hook_device_service，用这些方法的一个好处就是，接收数据比较低层，直接得到的就是mac数据，而且可以知道是哪块网卡上来的，而且，可以加密各种数据帧，ipx,ip什么的都不在话下。因为我所遇到的加密环境和要求，几

2006-01-07 20:50:00 710

原创 win2000进程虚拟内存数据搜索与修改

Windows2000下用户模式的内存扫描[转帖] Sprite简述：本文简要介绍了在Windows2000下实现内存扫描的基本理论和实现的办法。内存扫描是一项重要的技术，有相当广泛的应用范围：如病毒扫描、游戏修改等。Windows2000是一个完全保护的系统，且具有两种工作模式，即用户态和核心态（User Model and Kernel Model）。内存扫描也可分为用户

2006-01-07 20:37:00 251

原创枚举全局钩子

首先强调一点，本文给出的代码只在 WinXP+SP2 下测试通过，使用其他系统的朋友最好看懂代码，然后调试运行。如果不巧系统蓝屏可不要找我哦。:) 鼠标钩子、键盘钩子等大家一定是耳熟能详，在 Windows 环境下编程的朋友们肯定都和他们打过交道，比如说截获密码什么的都可以用到他们。本文将介绍一种办法可以枚举所有的全局钩子，找到到底是什么动态库创建了钩子（大部分全局钩子都需要通过动态库来实现

2005-06-25 18:16:00 656