PE加节代码

2009-10-13 Nie.Meining Coding

工作需要,写了个加节代码。网上有个汇编的,考虑不太周全。
感谢看雪宝图,感谢小伟同学。上代码:

////////////////////////////////////////////////////////

//        PE 加节的函数

//        strFilePath为要改动的文件路径

//        strSecFilePath为节文件,节文件里面是新加节的内容。

//        省略了一些错误处理过程,比如fread失败等

阅读全文>>

评论(2) 浏览(11993)

DebugActiveProcess杀进程

2009-9-2 Nie.Meining Coding

发现个比较WS的东西:

#include <windows.h>

#include <iostream>

using namespace std;

//同归于尽杀进程

//By Fypher

//http://hi.baidu.com/nmn714

void RaisePrivileges() {

阅读全文>>

评论(0) 浏览(13459)

彻底改掉进程名

2009-8-24 Nie.Meining Coding

写了个改进程名的东西,跟大家分享!
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):
一、EPROCESS中:
    1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
    2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地方,NtQueryInformationProcess就是从这里获取进程名的)
    3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName(RKU获取进程名的方法)
    4、VAD(记录用户空间内存分配情况的数据结构,里面当然有进程的exe模块)

二、PEB中:

阅读全文>>

评论(2) 浏览(15217)

鼠标修复软件开源

2009-8-21 Nie.Meining Coding

代码中的注释抄过来当简介了:

/*******************************************************************************************

* MouseRepairExp 2.0 (sys part)

*

*

* What's new:

*

支持了鼠标的动态加载、卸载,修复了程序运行期间插拔其它USB设备会蓝屏的BUG

阅读全文>>

评论(0) 浏览(23743)

获取IP地址的另一种方法(逆向GetIpAddrTable习得)

2009-8-17 Nie.Meining Coding

由于工作需要,想实现不调用任何函数获取IP地址,于是把GetIpAddrTable函数逆了,发现它是向\device\tcp查询ip实现的,进一步逆向进行不下去了(水平有限)。
模拟其实现写了段获取IP的代码,虽然不知道有什么用,还是跟大家分享一下吧:

#include <windows.h>

#include <stdio.h>

//By Fypher

//http://hi.baidu.com/nmn714

int main() {

阅读全文>>

评论(0) 浏览(14008)

Powered by emlog