新系统可别乱用啊，有些更新还是有必要的，确保任务栏右键有任务管理器和任务栏设置。管理员运行Posershell，执行这行代码regadd"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings"/vFlightSettingsMaxPauseDays/treg_dword/d10000/f或者WindowsRegi

一、裸函数在正常的函数编译中，即使函数没有定义函数体的内容，编译器也依然会编译出部分汇编指令用来执行函数。但是如果定义一个裸函数void_declspec(naked)test()编译器将不会操作这个函数，不会给其生成汇编指令（但是会在主函数中生成call和jmp指令指向这个裸函数）可以看到

首发地址:https://mp.weixin.qq.com/s/Nik8fBF3hxH5FPMGNx3JFw前言最近想写一个免费的微信公众号自动采集的工具，我看公众号文章下载需求还挺多的。搜了下github，免费的工具思路大多都是使用浏览器打开公众号主页获取到需要的请求参数，例如key、uin等，然后再用参数请求历史。优化

     在所有的Win32操作系统提供的功能里，最常用但是描述最不全的（underdocument）恐怕就是结构化异常处理了（structuredexceptionhandling(SEH)）。当你想到Win32的结构化异常处理，你会想到 _try,_finally, 和_except这些东西，你可以从任何一本Win32的书中找到SEH的很好的描述

07驱动内存加载驱动加载介绍内存驱动加载不需要签名当双击一个PE程序的时候发生了什么1.通过explorer.exe(资源管理器)定位到双击的文件2.资源管理器通过CreatProcess创建进程3.创建进程的时候开辟一块空间此时在R3(PEB)和R0(填充基址)需要的地方挂上R3的物理页4.通过文

1、首先按组合键“win+r”打开运行窗口，在窗口中输入regedit，按回车键进入注册表编辑器或者按组合键“win+x”在PowerShell中执行命令regedit(效果相同)进入注册表编辑器之后依次找到：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio\Explorer\Advanced，新建DWORD(32

文章首发阿里云先知社区：https://xz.aliyun.com/t/14310了解过免杀的都知道，杀软会对敏感api进行hook操作，而我们通常有两种方式进行解决，syscall和unhook，而我们在syscall的时候有时候会导致堆栈不完整，在杀软看来是一些异常的行为，比如下图可以看到RIP指针直接已经在Progra

MFC文本设置字体发虚的问题最近在做一项目中，发现默认的字体比较正常，字体如下：字体比较清晰，在代码加入如下设置字体项后，反而显示发虚，模糊CFont*m_font=newCFont;m_font->CreatePointFont(120,_T("Arial"));GetDlgItem(IDC_EDIT_CONTENT)->SetFont(m_font);可能是需要某

难度1题目CatFlyLinux下的elf二进制文件，strings一下没发现什么信息。参考：https://xia0ji233.pro/2023/01/01/Nepnep-CatCTF2022/index.htmlhttps://blog.csdn.net/Lynnette177/article/details/132616817解题思路：遍历正确密钥，解密dword_E120（flag密文），注意sub_62B5()获取的

Windows设备在Windows平台下，设备被定义为能够与之进行通信的任何东西。最常见的I/O设备包括：文件、文件流、目录、物理磁盘、卷、控制台缓冲区、磁带驱动器、通信资源、mailslot和管道等。平常我们使用的文件，目录都可以称之为设备。 本文是介绍设备的通用操作，以文件操作进

4个解决办法，我用的第四个方法就解决了，注册表手动添加的重启后不管用，第四个方法直接用程序改一下方便 首先得保证服务器是否支持tls1.2去注册表里查或者百度怎么查,基本大多数都用的是1.2      1.  代码前加这个 ServicePointManager.Expect100Continu

羊城杯2023CSGO学习到了sharpODorzIDA的话没办法动调至少很难动调FindCrypt插件可以发现有base64加密查看交叉引用在汇编代码中定位到字串.text:000000000049B144mov[rsp+0C8h+var_88],rcx.text:000000000049B149mov[r

工欲善其事必先利其器，巧妇难为无米之炊，要有较好的工具才能完成伟大的事业。下面介绍一些软件分析和逆向工程的工具。二进制编辑器（Stirling，一款日本圈子用的较多的工具）http://www.vector.co.jp/soft/win95/util/se079072.html该工具的功能主要是查看软件的二进制成分，与WinHex类

Shellcode注入总结6x0远程线程注入dll通过在其他进程创建一个远程线程，执行我们的shellcode加载器dll效果：目前dll的shellcode加载器使用了远程加载，能大概绕过火绒静动态，defender的静态。360动静态全杀6x0x0直接看注入exe代码：#include<iostream>#include<tchar.h>#in

eg0202.asm;eg0202.asmincludeio32.inc.datacountdword12345678h,9abcdef0h,0,0,3721h.codestart:moveax,33221100hmovebx,eaxmovecx,countmovebx,offsetcountmovedx,[ebx]movesi,[ebx+4]movesi,4movedi,count[esi]movedi,[ebx+esi]movecx,[eb

1.32,16,8位寄存器对应的关系2.MOV的语法总结:既能从寄存器写道内存,也能从内存写到寄存器,从寄存器写道寄存器,还能写入常量寄存器内存常量寄存器110内存100常量100所以,任何数据都可传给寄存器,寄存器能传数据给寄存器和内存3.内存操

1.引用的底层原理解析引用被称为变量的别名，它不能脱离被引用对象独立存在，这是在高级语言层面的概念和理解，并未揭示引用的实现方式。常见错误说法是“引用“自身不是一个变量，甚至编译器可以不为引用分配空间。引用地址空间存放的是被引用对象的地址。实际上，引用本身是一个变量，

在应用层下，进程遍历有多种方式，这里介绍几种常用的方式：进程快照、ZwQuerySystemInformation/NtQuerySystemInformation、EnumProcesses函数、WMI等。 在C#中Process类提供了一个GetProcesses()函数，这个函数内部就是调用的NtQuerySystemInformation进行获取。 进程快照这种方

使用ctypes库调用C的函数,需要进行封装.如下所示:#对结构的封装classSTARTUPINFOEX(Structure):"""STARTUPINFOEXstructure"""_fields_=[("StartupInfo",STARTUPINFO),("lpAttributeList",POINTER(PVOID))

第五十九课win32枚举窗口_鼠标键盘事件函数1.查找指定窗口::FindWindow()函数获取窗口句柄，再通过句柄控制窗口，函数的参数可以通过vs的spy++工具获得TCHARszTitle[MAX_PATH]={0}; HWNDhwnd=::FindWindow(TEXT("#32770"),TEXT("飞鸽传书IPMessenger"));

第六十三课IATHOOK这节课得把前面PE部分的IAT表复习好，再来做就简单多了1.IATHOOK是什么其实就是找到IAT表的位置再换成自己定义的函数，只是我们替换的函数需要和原函数的结构保持一直，比如我们要HOOKMessagebox函数，那么我们需要定义一个MyMessagebox函数，他的结构应该与Messa

第五十课win32创建线程1.进程与线程程序就是在硬盘里还没跑起来的二进制文件，进程就是已经运行中的程序，一个进程至少有一个线程，比如一个正在举行的活动需要几十个人帮忙干活，进程就是那个活动，线程就是那几十个人一个线程启动是需要占用一个cpu的一个新线程也会创建一个新堆

python调用C语言API,一般使用内置的ctypes库.但是这个库用起来不那么方便,主要是需要进行函数和数据结构的包装.如下所示:#结构定义classCOORD(Structure):"""COORDstructure"""_fields_=[("X",SHORT),("Y",SHORT)]#函数定义UpdateP

第四十课c++8new-delete-vector1.内存空间复习在类外函数外的变量就是全局变量，程序一编译地址就已经确定了的临时数据，参数和局部变量就是在堆栈里而使用malloc函数动态申请的则是在堆里2.跟踪调试反汇编函数我们调用malloc函数申请内存，但是不是malloc一个函数完成整个

第二十五课FileBuffer-ImageBuffer1.PE文件执行的总过程第二十三课已经说过了，文件先复制一份读入虚拟内存中（FileBuffer），接着要运行时将FileBuffer中的文件数据拉伸，重载到4GB的虚拟内存中（ImageBuffer）但ImageBuffer还不是文件运行时在内存的真正状态，ImageBuffer还没表示文件已