【求助】64位磁盘过滤驱动的INF怎么写啊?
以下是微软的TOASTER过滤驱动,我要改成磁盘过滤驱动,怎么写啊。 我试了,把 [Version] Signature="$WINDOWS NT$" Class=TOASTER ClassGuid={B85B7C50-6A01-11d2-B841-00C04FAD5171} 改为 [Version] Signature="$WINDOWS NT$" Class=DiskDrive...
View Article【求助】怎么获得ARM的机器码?
用了坛子里面大神弄的ARM-GEN可以查看到8位的机器码 如MOV R0,#1 工具查出来是01 00 A0 E3 有些so文件代码这样是对的,但是有些只有四位的 如MOV R0,#1 对应的机器码是01 20 请问下这个应该怎么计算,有没工具可以计算这种短的? 为啥会有两个答案,求大神们科普:eek:。
View ArticleClik here to view.
【原创】最近发神经编写了一个抓包工具
最近发神经编写了一个进程抓包工具,希望各位有志于此的同学们一起讨论,需要讨论的可以联系我,也可以跟帖. 需要改进的还有很多 1.WSARecv的hook,现在只考虑了lpOverlapped==NULL 2.多个进程hook 3.数据包保存,加载,分析 4.过滤器 附件 86215 附件 86296 上传的图像 1.JPG (20.7 KB) 2.jpg (50.5 KB) 上传的附件...
View Article【原创】感谢我的爱人和小孩!
RT 引用: 去年过去,去年的一年也是我人生的转折点. 借论坛感谢他们的帮助的支持,2013年5月28号,2013年11月28号在医院签字时,我没有想到小孩也从很远的地方到医院,我真的很感谢他,长大了. 在这里也谢谢段刚,像我这样的病情,不是现在的医疗手段,早。。。 祝福他们!祝福大家! :cool:
View Article他的故事 【分享】从一个玩家到大爷的角色转变。
大爷是谁?疯狂的程序员里面那位。:eek: 以前一直喜欢玩游戏,学会上网就是学会玩传奇开始的,那个时候还在读书,被同学拉着去网吧,以前就会玩个CS什么,有一天接触了一个网络游戏-传奇。从此一发不可收拾。一直就是玩啊玩,忽略一万字……后来有个朋友玩游戏挣钱,感觉挺有意思 把兴趣当职业了。自己学着也去做,做着做着觉得商机还挺大的 以前怎么就没想到呢...
View Article关于驱动层KeStackAttachProcess函数导致蓝屏的疑问
我在驱动层用KeStackAttachProcess附加到其他进程读内存的时候,调试的时候很正常,但是实际使用起来,时间长了就会蓝屏,我猜想的原因有两个 1,KeStackAttachProcess用的时候IRQL不对,IRQL我也是一知半解...
View ArticleClik here to view.
jmp指令遇到的问题
最近几天在看Aleph One的smashing the stack for fun and profit,80年代的作品,很多东西跟现在不一样了,实现起来有点困难,经常遇到麻烦需要google。今天这个问题昨晚google了一晚也没找到。 先贴代码。 附件 86292 使用gcc -o shellcode -g shellcode.c编译链接。 gdb反汇编如下 附件 86293...
View ArticleClik here to view.
【原创】Android动态逆向分析工具(二)——Andbug扩展功能
本文所述功能是在andbug原有功能的基础上实现的信息的功能,包括对apk运行时行为监控功能的实现,以及获取apk更详细信息的功能的实现。...
View Article商业保护 【求助】逆向分析MSN加强壳运作机制,不知从何下手,望大牛指明方向
最近要逆向分析MSN加强壳运作机制,聊天的加密算法,key生成算法等。弄了几天了,也没什么头绪,希望各位大牛能给点建议。之前主要是从加强壳的dll文件下断点开始,结果刚下好断点就断下来了,可能是一个循环。到了这里不知道怎么办了。。。
View Article【讨论】使用MDebug 1.04后的…………
无聊来论坛发现MDebug 1.04一直没有更新,可能是作者的时间太紧了。使用后发现基本与IDA功能一样,个人认为动态调试没有OD的强大,修改代码只能改为NOP,想改成其他代码那只是遥远的梦想,改后想保存也只能手动保存,汇编窗口右键菜单“定位到文件”,会以16进制打开,修改后进行保存,非常纠结。...
View Article【原创】坑爹的sizeof和编译器
VC6下 一、原始语句 int Len=0x400; if(Len>(int)0x201000-0x200fff-sizeof(DWORD)-0x10){ int a=1;//此句能否执行? } 答:不能执行 二、就增加了一对括号 int Len=0x400; if(Len>(int)(0x201000-0x200fff-sizeof(DWORD)-0x10)){ int...
View Article【讨论】(安卓)有没有人有兴趣做一些基础性的项目,欢迎讨论!
论坛上牛人很多,但在我看来,一个东西如果要成功,不光是你牛就能做到的,还需要一种眼光,一种时机。 我举个很简单的例子。看雪上有个大牛开发了一个和OD差不多(甚至还要强?)的调试器MDebug,他的水平是毋庸置疑的,但是!既然OD已经足够好用了,重复造轮子的意义何在?当然,对于开发者自己的提高是极有好处的,能不能福泽众人就要打个问号。...
View Article【讨论】发现udis86源码中可能存在一个错误,求论证~
代码在syn-att.c和syn-intel.c中,处理反汇编前缀的一段代码: syn-att.c的代码: 代码: if (u->pfx_lock) ud_asmprintf(u, "lock "); if (u->pfx_rep) { ud_asmprintf(u, "rep "); } else if (u->pfx_rep) {...
View Article【求助】中断优先级多处理器问题?!
在多CPU环境中,当一个CPU中断级别到了DISPATH_LEVEL时,但其他CPU还是在PASSIVE时,其他CPU会继续在PASSIVE下执行吗? 我知道线程优先级和中断优先级的区别,但在多CPU环境下,好像当一个CPU中断优先级高,并不影响其他CPU啊?看爱民的《windows内核原理与实现》有这疑问,望大牛指点:3:
View ArticleClik here to view.
【原创】中关村见bprd的车子
今天下午许,再中关村看见一辆bprd的车子 :D::3::cool: 附件 86305 上传的图像 IMG_0815.jpg (100.1 KB)
View ArticleClik here to view.
【原创】虚拟化检测工具 BIN
是BIN哦, 源码就不发了,很简单,我用 vs2013创建的项目很大懒得上传了 只支持英特尔CPU哦,XP 2K3 WIN7 WIN8 WIN8.1 X86/X64 都支持 因为没有签名,X64 需要设置测试模式禁用驱动签名。 写这个程序的初衷是因为WIN8.1 和 SecurAble,原先以为WIN8.1的任务管理器 显示的虚拟化 启用与禁用是好用,但是经常重启你就会发现,他一会显示已禁用一会...
View Article