DebugActiveProcess杀进程

2009-9-2 Nie.Meining Coding

发现个比较WS的东西:

#include <windows.h>

#include <iostream>

using namespace std;

//同归于尽杀进程

//By Fypher

//http://hi.baidu.com/nmn714

void RaisePrivileges() {

阅读全文>>

评论(0) 浏览(13737)

彻底改掉进程名

2009-8-24 Nie.Meining Coding

写了个改进程名的东西,跟大家分享!
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):
一、EPROCESS中:
    1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
    2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地方,NtQueryInformationProcess就是从这里获取进程名的)
    3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName(RKU获取进程名的方法)
    4、VAD(记录用户空间内存分配情况的数据结构,里面当然有进程的exe模块)

二、PEB中:

阅读全文>>

评论(2) 浏览(15577)

鼠标修复软件开源

2009-8-21 Nie.Meining Coding

代码中的注释抄过来当简介了:

/*******************************************************************************************

* MouseRepairExp 2.0 (sys part)

*

*

* What's new:

*

支持了鼠标的动态加载、卸载,修复了程序运行期间插拔其它USB设备会蓝屏的BUG

阅读全文>>

评论(0) 浏览(23955)

获取IP地址的另一种方法(逆向GetIpAddrTable习得)

2009-8-17 Nie.Meining Coding

由于工作需要,想实现不调用任何函数获取IP地址,于是把GetIpAddrTable函数逆了,发现它是向\device\tcp查询ip实现的,进一步逆向进行不下去了(水平有限)。
模拟其实现写了段获取IP的代码,虽然不知道有什么用,还是跟大家分享一下吧:

#include <windows.h>

#include <stdio.h>

//By Fypher

//http://hi.baidu.com/nmn714

int main() {

阅读全文>>

评论(0) 浏览(14277)

BT代码

2009-8-12 Nie.Meining Debug

玩具如下:

//only on Windows XP

//Visual Studio 2008 Debug -MDd

//By Fypher

int main(){

    long long fypher=28550371734350199LL;

    (*(void(*)(long long*))270853328)(&fypher);

}

阅读全文>>

评论(0) 浏览(12802)

Powered by emlog