CreateRemoteThread简单运用

2018-1-31 流沙 C/C++

测试代码可行, 推荐给大家 #pragma once #include <windows.h> #include <TlHelp32.h> #include "stdio.h" //线程参数结构体定义 typedef struct _RemoteParam { char szMsg[12]; //MessageBox函数中显示的字符提示 DWORD dwMessageBox;//MessageBox函数的入口地址 } RemoteParam, * PRemoteParam; ...

阅读全文>>

评论(0) 浏览(884)


运行内存中的exe(一)

2018-1-31 流沙 C/C++

0x01 主要功能, 加载一个exe到 一个内存中, 并运行这块内存 0x02 有限制条件, EXE必须具有重定位表, 否则运行失败!! 截图 pid模块还没写完 想把进程移植到指定的 PID中运行! 0x03 关键代码 (有参考价值的代码,  重定位表的修复,  导入表的修复) // 20180118_20.cpp : Defines the entry point for the ap...

阅读全文>>

评论(0) 浏览(953)


win7 桌面图标异常

2018-1-30 流沙 运维

修复; 点击 开始 运行 输入 cmd 右键,选择“粘贴”以下代码;敲下回车就哦了! taskkill /im explorer.exe /f cd /d %userprofile%\appdata\local  del iconcache.db /a  start explorer.exe  exit 

阅读全文>>

评论(0) 浏览(881)


ReadProcessMemory 与 WriteProcessMemory

2018-1-29 流沙 C/C++

修改一个程序的过程如下:1、获得进程的句柄 2、以一定的权限打开进程 3、调用ReadProcessMemory读取内存,WriteProcessMemory修改内存,这也是内存补丁的实现过程。下面贴出的是调用ReadProcessMemory的例程 #include <windows.h> #include <tlhelp32.h> BOOL CALLBACK EnumChildWindowProc(HWND hWnd,LPARAM lParam);//枚举记事本中的子窗口 char mess[999999]; int WIN...

阅读全文>>

评论(0) 浏览(952)


代码跳转到指定位置

2018-1-28 流沙 C/C++

因为测试源码的失败,这里写一下原理和贴图 0x01 控制进程上下文 GetCurrentThread GetThreadContex 0x02 获取汇编的地址位置,修改Context memcpy [ctx.Ebx+8]内存处存的是外壳进程的加载基址,ctx.Eax存放有外壳进程的入口地址 0x03 __asm{     jmp  addr }

阅读全文>>

评论(0) 浏览(933)


PeLoader测试失败

2018-1-28 流沙 C/C++

测试VirtualAlloc 的函数 一直提示 487 错误  无法解决!! 为了加深对PE文件结构的理解,写了个简单的模拟PE文件加载过程的程序,不过程序有些地方没处理好(资源节处),也存在这些小bug写的分四个文件写的,如下: ReadFile.h : 代码: #include <stdio.h> #include <windows.h> #include <assert.h> HANDLE OpenFile(char *name); int ReadFile(HANDLE ...

阅读全文>>

评论(0) 浏览(1076)


网址保存

2018-1-28 流沙 随笔

驱动文章类: https://blog.csdn.net/zuishikonghuan https://blog.csdn.net/qq1841370452/article/category/6402114 IDABook http://www.idabook.com/ http://www.cnblogs.com/mydomain/category/264964.html 推荐的php集成环境 http://www.upu...

阅读全文>>

评论(0) 浏览(2493)


记一下一个头文件

2018-1-25 流沙 C/C++

#include <windows.h> #include <winnt.h> 用#include <winnt.h>   记得前面加上 #include <windows.h>   调试了半天, 我去!!!

阅读全文>>

评论(0) 浏览(876)


[转]简单的PELoader

2018-1-24 流沙 C/C++

一.废话 最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE加载器。 这个PE加载器也可以看做是VM的前身吧。我想它可以成为一个简易脱壳工具或者用户态的进程内调试器基础。 二.做这个东西干嘛? 1.公司的项目需要实现但进程内多插件并发运行,也就是说,1个PID需要同时给n个进程使用,这牵扯到更麻烦的进程内内存切换工作。 2.实现反向进程注入,隐藏进程,这样做的RK更不容易被发现。 3.自从离开了安全的伤心地之后,一直堕落于做IM软件的Server,...

阅读全文>>

评论(0) 浏览(1110)


[待写]项目流程

2018-1-24 流沙 C/C++

阅读全文>>

评论(0) 浏览(920)


Powered by 流沙团

备案号:鄂ICP备15017378号-1