兄弟聚會
摘要: 性情中人,啥都不說了
......
閱讀全文
WTS APIs(Windows終端服務API)獲取進程信息(ZT)
摘要:
WTS APIs(Windows終端服務API)獲取進程信息
Windows XP 有一個新特性叫做“快速用戶轉換——Fast User Switching”,這個特性允許多個用戶同時在一臺機器上登陸。當一個用戶登陸后,另一個用戶啟動的進程仍然能夠運行。這個神奇的特性所倚仗的是 WTS APIs。如果你想了解更多有關 WTS 的內容,可以參考 MSJ Oct99 的一篇文章:“Windows NT和 Windows 2000 終端服務APIs介紹”,作者是 Frank Kim。
Windows XP為每一個登陸用戶創建一個WTS會話(Session)。每個運行進程總是與這樣一個Session關聯。Windows XP的任務管理器允許你列出進程清單,不論是針對所有會話的還是僅僅針對自己的會話,任務管理器對話框的進程標簽中有一個"顯示所有用戶的進程"復選框可以對此進行選擇。
.................
閱讀全文
“黑客之門”后門的魅力(ZT)
摘要: “黑客之門”介紹
黑客之門采用的目前一些先進的后門技術,它只有一個Dll文件,通過感染系統文件啟動自身,被感染的系統文件大小和日期都不會改變;同時采用線程插入技術,本身沒有進程;本身不開端口,而是重用系統進程開的任意一個端口,如80,135,139,445等,因此它的隱藏性非常好,而且穿透防火墻也是很容易的事。這個版本文件不大,只提供一些很有用的命令。目前還沒有發現如何工具能查到這個后門,象Fport,Llister,RKDetector等查工具都失效。
程序的自啟動
既然是一個后門,那么就要隨系統的啟動而啟動,根據黑客之門的介紹,它是通過感染系統程序文件來實現程序的自啟動的。既然是感染了系統文件(像病毒),那就看看感染前和感染后的系統文件的區別吧!為了測試感染前后的差別,我準備了一個專門用來被感染的文件TestLoad.exe,它沒有什么功能,只是彈出一個對話框,這樣好等待測試,麻雀雖小,五臟俱全,省得動系統文件了。接著運行命令:
...................
閱讀全文
破解所謂的“網頁源代碼加密”
摘要: 之前見過這段代碼,覺得用view-source就可以了就沒記,現在這招不好用了,前段時間死活找不到這段代碼,這回不能放過了
在地址欄或按Ctrl+O,輸入:
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
源代碼就出來了。不論加密如何復雜,最終都要還原成瀏覽器可以解析的html代碼,而documentElement.outerHTML正是最終的結果。
.............
閱讀全文
獲取通過終端登錄的當前用戶winlogon進程pid
摘要: /*此代碼用于獲取通過終端登錄的當前用戶winlogon進程pid
在開了終端服務的機器上運行沒問題,沒有開終端服務的得不到pid,自己修改吧
Author:009
Email:baicker.009(a)gmail.com
Web:http://www.aygfsteel.com/baicker
Date:20070720
*/
#include <stdio.h>
#include <windows.h>
#include <wtsapi32.h>
#pragma comment(lib, "wtsapi32.lib")
void main()
{
DWORD ProcessId, SessionId;
BOOL Res=0;
DWORD winlogonPid = 0;
............
閱讀全文
當當網禮券
摘要:
薯片里面的,誰要誰拿去
卡號:LAY6651112001144374
密碼:978256
閱讀全文
淺析本機API(ZT)
摘要:
此文只能說是一篇筆記,是關于本機API的.本機API是除了Win32 API,NT平臺開放了另一個基本接口。本機API也被很多人所熟悉,因為內核模式模塊位于更低的系統級別,在那個級別上環境子系統是不可見的。盡管如此,并不需要驅動級別去訪問這個接口,普通的Win32程序可以在任何時候向下調用本機API。并沒有任何技術上的限制,只不過微軟不支持這種應用開發方法。
User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll, advapi32.dll,version.dll等dll代表了Win32 API的基本提供者。Win32 API中的所有調用最終都轉向了ntdll.dll,再由它轉發至ntoskrnl.exe。ntdll.dll是本機 API用戶模式的終端。真正的接口在ntoskrnl.exe里完成。事實上,內核模式的驅動大部分時間調用這個模塊,如果它們請求系統服務。 Ntdll.dll的主要作用就是讓內核函數的特定子集可以被用戶模式下運行的程序調用。Ntdll.dll通過軟件
閱讀全文
匯編ring3下實現HOOK API續之備份函數法(ZT)
摘要: 我曾經寫過一編文章,名字叫"匯編ring3下實現HOOK API",里面詳細介紹了匯編ring3下實現HOOK API的幾種方法,文章中著重介
紹了介紹了"改寫內存地址JMP法"的方法,這也是比較通用的一種方法,讓我們再來回顧一下改寫內存地址JMP法的具體方法::
直接跳轉,改變API函數的入口或出口的幾個字節,使程序跳轉到自己的函數,該方法不受程序加殼的限制。這種技術,說起來也不
復雜,就是改變程序流程的技術。在CPU的指令里,有幾條指令可以改變程序的流程:JMP,CALL,INT,RET,RETF,IRET等指令。理
論上只要改變API入口和出口的任何機器碼,都可以HOOK,下面我就說說常用的改寫API入口點的方法:
因為工作在Ring3模式下,我們不能直接修改物理內存,只能一個一個打開修改,但具體的方法又分成好幾種,我給大家介紹幾種操
作思路:
.......
閱讀全文
匯編ring3下實現HOOK API (ZT)
摘要:
=====[ 1. 內容 ]=============================================
1. 內容
2. 介紹
2.1 什么叫Hook API?
2.2 API Hook的應用介紹
2.3 API Hook的原則
3. 掛鉤方法
3.1 改寫IAT導入表法
3.2 改寫內存地址JMP法
4. 匯編實現
4.1. 代碼
4.2. 分析
5. 結束語
=====[ 2. 介紹 ]================================================
這篇文章是有關在OS Windows下掛鉤API函數的方法。所有例子都在基于NT技術的Windows版本NT4.0
及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系統也會有效。
你應該比較熟悉Windows下的進程、匯編器、和一些
閱讀全文
未公開函數MessageBoxTimeOut 實現定時消息(ZT)
摘要: #include
#include
//Functions & other definitions required-->
typedef int (__stdcall *MSGBOXAAPI)(IN HWND hWnd,
IN LPCSTR lpText, IN LPCSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);
typedef int (__stdcall *MSGBOXWAPI)(IN HWND hWnd,
IN LPCWSTR lpText, IN LPCWSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);
int MessageBoxTimeoutA(IN HWND hWn 閱讀全文
關閉SFC[文件保護]的源代碼(ZT)
摘要: WindowsXP Professional SP2測試通過.
.386
.Model Flat,StdCall
Option CaseMap :None
Include \Masm32\Include\Windows.inc
Include \Masm32\Include\User32.inc
Include \Masm32\Include\Shell32.inc
Include \Masm32\Include\Kernel32.inc
Include \Masm32\Include\Advapi32.inc
..........
閱讀全文
編程禁止Windows文件保護(ZT)
摘要: 這里要用到一個未公開的API——SfcFileException,其聲明如下:
代碼:
DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);
參數說明: dwUnknown0 未知,設為0
pwszFile 文件名
dwUnknown1 未知,設為-1
...........
閱讀全文
HP-UX安全加固使用手冊(ZT)
摘要: 一、 基本系統管理
1、常用命令
1. # ioscan -fn
列出各I/O卡及設備的所有相關信息:如邏輯單元號,硬件地址及設備文件名等。
2. # ps -ef
列出正在運行的所有進程的各種信息:如進程號及進程名等。
3. # netstat -rn
列出網卡狀態及路由信息等。
4. # lanscan
列出網卡狀態及網絡配置信息。
......
閱讀全文
清空系統密碼(ZT)
摘要: 這東西再放都長毛了,放出來....精靈還寫了個利用工具,找不到了.回頭補上..
system32下 有個msv1_0.dll
xp sp2
F8 10 75 11 B0 01 8B 4D
修改為
E0 00 75 11 B0 01 8B 4D
2k professinal
F8 10 0F 84 71 FF FF
修改為
E0 00 0F 84 71 FF FF
閱讀全文
我普通話不標準?
摘要: 一出租車司機,我說到天苑酒店,說半天,死活不知道哪里,最后到目的地,沒好氣地說:天"月"啊,你發音不標準,說天"月"不就行了
整天徘徊在殺與不殺之間,很痛苦
問我是哪里人,”kao,你管我哪里人“
閱讀全文