ICode9

WinAPI: waveOutOpen - 打开波形输出设备 提示: 因为其中的回调函数是在中断时间内访问的, 必须在 DLL 中; 要访问的数据都必须是在固定的数据段中; 除了 PostMessage timeGetSystemTime timeGetTime timeSetEvent timeKillEvent midiOutShortMsg midiOutLongMsg OutputDebu

WinAPI: GetComputerName - 获取计算机名称 //声明: GetComputerName( lpBuffer: PChar; {缓冲区} var nSize: DWORD {缓冲区大小} ): BOOL; //举例: var arr: array[0..MAX_COMPUTERNAME_LENGTH] of char; d: DWORD; begin d := SizeOf(arr); GetComputerNa

多线程编程(5) - 从 CreateThread 说起[续三] function CreateThread( lpThreadAttributes: Pointer; dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; {入口函数的指针} lpParameter: Pointer; dwCreationFlags: DWORD; var lpThreadId: DWORD

多线程编程(2) - 从 CreateThread 说起 function CreateThread( lpThreadAttributes: Pointer; {安全设置} dwStackSize: DWORD; {堆栈大小} lpStartAddress: TFNThreadStartRoutine; {入口函数} lpParameter: Pointer;

学 Win32 汇编[17]: 关于压栈(PUSH)与出栈(POP) 之一 记得刚学多线程的时候, 碰到一个结构://Delphi 的语法描述 PContext = ^TContext; _CONTEXT = record ContextFlags: DWORD; Dr0: DWORD; Dr1: DWORD; Dr2: DWORD; Dr3: DWORD; Dr6: DWORD; Dr7: DWORD;

构造函数（初始） 与类同名没有返回值创建对象的时候执行主要用于初始化可以有好多个（最好有一个无参）编译器不要求必须提供 重载：函数名字一样 参数个数或者类型不一样 析构函数（清理） 只能有一个析构函数，不能重载不能带任何参数不能带返回值主要用于清理工作编译器不要求必须提供 如

   PE可执行文件的镶入式程序后门开发      /*      利用异常结构处理搜索GetProcAddress入口地址  */   #include   #include   main()   {          _asm       {           call ex//取得当前地址以计算异常结构开

   /***********************************************************************//*实现全局hook模块基本完工，测试通过，没有发现异常。         计划1：在hook前首先检验该程序是否已被hook   计划2：添加枚举进程并hook功能   计划3：在备份api时，只备份目标api函数，避免备

   一个vc++   direct sound播放wav文件的类     头文件#if !defined(AFX_DIRECTSOUND_H__A20FE86F_118F_11D2_9AB3_0060B0CDC13E__INCLUDED_) #define AFX_DIRECTSOUND_H__A20FE86F_118F_11D2_9AB3_0060B0CDC13E__INCLUDED_ #if _MSC_VER >= 1000 #pragma once #endif /

参考 https://blog.51cto.com/13475106/category6.html及狄泰软件相关课程                                主要代码文件 %include "common.asm" global _start global TimerHandlerEntry extern TimerHandler

在表中，我们知道了0x01 4c对应的平台结构是i386； 我们接着分析下一个字段，给出PE结构图    向后推移2个字节，现在来到（图片高亮部分）：  高亮部分对应IMAGE_NT_HEADERS结构的NumberofSections字段; 图中高亮部分是PE_HEADER部分的TimeDateStamp字段，这个字段的功能是记录文件的创建时

目录 作者介绍按键盘`win+R`输入`regedit`

免杀大家应该都不陌生,今天初探一下 免杀思路 通过cs生成shellcode,不过现在各大厂商对于出名的shellcode:如cs,msf这些基本上达到了见光就死的程度,我这里简单的加密一下,然后通过API加载到一个进程中,并且执行,我首先希望的是有一个静态免杀效果。 环境准备 vs2019  win10  整

移动各种表的原因： 实现代码如下： void MoveExportTable(PVOID pFileBuffer,PDWORD OldBufferSize,PVOID* pNewBuffer){ PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_FILE_HEADER pImageFileHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pImageOptionalHeader = NULL; PIMA

5.1.PE文件结构 1、什么是可执行文件? 可执行文件(executable fle)指的是可以由操作系统进行加载执行的文件。 可执行文件的格式: Windows平台: PE(Portable Executable)文件结构 Linux平台: ELF(Executable and Linking Format)文件结构 哪些领域会用到PE文件格式: <1>病毒与反病

开头的代码是用来本地化错误代码的，跟主体没有关系 主要逻辑在main方法中 我把本机接口简单包装了一下，所以是通过Fiber类来进行调用   #include <iostream> #include <windows.h> std::string GetWin32ErrorMessage(DWORD errorCode) { char buffer[4096]; auto len

编译环境：Windows 10 + VS2015 1、问题引入 在Win32环境下，CPU小端模式，参数用栈来传递，写出输出结果。 代码如下： int main() { long long a = 1; long long b = 2; long long c = 3; printf("%d%d%d", a, b, c);//输出结果102 return 0; } 反汇编代码如下：

脱壳与加壳-加壳-3-加壳代码实现 壳代码如何存在 壳代码以什么形式存在？壳代码，就是一段指令，我们这里将其编写成为一个dll文件，把他的代码段，当成是壳代码 但是dll文件也是一个PE文件，也会有各自各样的区段，所以可以采用link指令，把所有区段合并成一个区段，然后把这个区段复制过去复制到

　　今天我使用的代码钩取的技术手段钩取了loadLibaryA,但是却报错了，查看汇编代码，发现在调用loadLibaryA后还会调用一个检查堆栈平衡的函数，这个是编译器在debug版本自动加的。 详细说明请看： 　　本次案例代码为钩取函数的代码,编译环境为:vs2010,字符集为unicode,运行环境windos7

脱壳与加壳-加壳-1-手工实现添加区段 给壳代码开辟空间来存放壳代码 方法1：在空白的区段头到区段的位置添加区段头 在区段的最后一个后面开辟新的区段 步骤 1 读取文件 2 创建buff存放PE文件镜像 3 解析PE（DOS头、NT头、可选PE头、标准PE头） 4 添加区段、修改相关PE某些字段值

运行环境: Windows 7 32位  Visual Studio 2010 /** 名称：hookByCode 功能: 在某个API下钩子 参数：TCHAR * moduleName 模块名 TCHAR * funcName 函数名  PVOID hookProc 钩子函数 返回值：PBYTE 返回被下钩子的API的前5个字节 用于脱钩 **/ PBYTE hookByCode(TCHAR * moduleName,TC

BYTE bytes1[4] = {0x00,0x10,0x40,0x00};    //创建4字节的字节数组  注意：字节是逆序的 BYTE bytes2[4] = {0x05,0x20,0x40,0x00};     DWORD b1 = *(DWORD *)bytes1;        //先将bytes1转化成(DWORD *)的指针  再用取值符 * 获得四个字节的值 DWORD b2 = *(DWORD

关注公众号：【小张Python】，为你准备了 50+ 本Python 精品电子书籍 与 50G + 优质视频学习资料，后台回复关键字：1024 即可获取；如果对博文内容有什么疑问，公众号后台添加作者【个人微信】，可与作者直接进行交流 win32api.GetFullPathName(fileName) fileName -> str；表示文件名； 返回文

  本文作者：Gality 本文字数：3700 阅读时长：20~30分钟 附件/链接：点击查看原文下载 本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载   本文链接：阅读更佳 https://mp.weixin.qq.com/s/uQjkf5fTf8s_qAOwZkcpLA   由于传播、利用此文所提供的信息而造成的任何直接或者间接的

1．样本概况 1.1 应用程序信息   ----------------------   应用程序名称：010Editor V8.0.1 32位 MD5值：9288F75678EB40C94398DD9F86E1C378 SHA1值：9B5891A124EF051A1175CB5249633AB956474A39 简单功能介绍： 1. 010 Editor是一个专业的文本编辑器和十六进制编辑器 2. 同时也是强大的