KeyObject结构中的Name信息

2010-11-26 Nie.Meining Debug

今天遇到个问题,需要从KeyObject结构中找出Name信息。
首先查看一下Key这种类型的Object对应的QueryNameProcedure:

0: kd> !object E1B90D70h

Object: e1b90d70 Type: (821ac858) Key

    ObjectHeader: e1b90d58 (old version)

    HandleCount: 1 PointerCount: 1

    Directory Object: 00000000 Name: \REGISTRY\USER\S-1-5-21-789336058-2146961391-682003330-1003

0: kd> dt _OBJECT_HEADER e1b90d58

阅读全文>>

评论(0) 浏览(24945)

输入法、词霸、超级卸载,继续娱乐

2010-11-5 Nie.Meining Debug

输入法、词霸、超级卸载,继续娱乐
上午看到输入法和词霸也不甘寂寞掺合进来凑热闹,很有意思:
http://tech.qq.com/a/20101105/000198.htm
刚刚又看到超级巡警出了这样一个东西,娱乐气息愈发浓厚了:
http://www.sucop.com/
“近日,我们接到众多网友投诉,一些产品无法进行干净卸载删除,应广大网友要求,我们推出通用软件卸载工具。目前第一版本仅支持360产品。”
下载下来看了看,一个驱动,一个dll,一个exe。把驱动拖进IDA简单看了看,功能很简单,在IOCTL里接收应用层传入的文件名,然后发IRP删文件。

阅读全文>>

评论(0) 浏览(23398)

劝架补丁,继续娱乐

2010-11-4 Nie.Meining Debug

突然发现人人网也来掺和了一把,出了个什么劝架补丁,下下来发现竟然有1.6M大,拖IDA里去看了看,其中用于“劝架”关键部分就这么两处,在QQ开始自残时触发:

.text:00401E74                 push    104h            ; nMaxCount

.text:00401E79                 lea     eax, [ebp+0F0h+String1]

.text:00401E7C                 push    eax             ; lpClassName

.text:00401E7D                 push    ebx             ; hWnd

.text:00401E7E                 call    ds:GetClassNameA

.text:00401E84                 push    offset String2 ; "#32770"

阅读全文>>

评论(0) 浏览(13239)

Powered by emlog