存档

文章标签 ‘Windows’

Windows NT’s GINA Interception

2012年5月30日 2 条评论

On Windows XP, Microsoft’s Graphical Identification and Authentication (GINA) interception is a technique that malware uses to steal user credentials. The GINA system was intended to allow legitimate third parties to customize the logon process by adding support for things like authentication with hard-ware radio-frequency identification (RFID) tokens or smart cards. Malware authors take advantage of this third-party support to load their credential stealers.

GINA is implemented in a DLL, msgina.dll, and is loaded by the Win-logon executable during the login process. Winlogon also works for third-party customizations implemented in DLLs by loading them in between Winlogon and the GINA DLL (like a man-in-the-middle attack). Windows conveniently provides the following registry location where third-party DLLs will be found and loaded by Winlogon:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL[......]

分类: 恶意代码 标签: , ,

Windows程序设计画图实现哆啦A梦

2011年8月17日 2 条评论

在看雪论坛上看到的一个帖子,很喜欢,转载一下。原文地址:http://bbs.pediy.com/showthread.php?t=138630
哆啦A梦是画出来的,不知道作者算这些坐标位置算了多久,真的很犀利。记得原来看《Windows程序设计》的时候,每次看到GDI都不是很理解,也没有仔细去研究。现在编程也很少与GDI打交道,还是等以后有空了在深入了解一下吧。把这个代码转载一份到博客,以后再回头研究一下。顺便贴一下程序运行后的截图:(很酷吧~~~)
字数补丁~代码疯子~程序人生~字数补丁~代[......]

继续阅读

分类: Windows SDK 标签: , ,

[转]Windows 2000错误代码和提示

2011年6月1日 2 条评论

个人觉得很有用的一张表,这是网上流传的一张Windows 2000的错误代码表,其实在其他版本的Windows下也是可以对照着用的,至少在Windows XP下的错误代码可以找到一些。尤其是对于驱动开发或者喜欢用ntdll中导出的Native API的朋友而言。当STATUS是一个莫名其妙的数字的时候是不是感到很困惑呢?那种负数的错误代码代表了什么?比如返回-1073741819这样一个STATUS。来查一下这张表吧。绝对很有帮助。

1 MESSAGETABLE
{
0, &qu[......]

继续阅读

PE文件之IMAGE_SECTION_HEADER

2011年3月12日 没有评论

在IMAGE_NT_HEADERS之后,是IMAGE_SECTION_HEADER。
重要的数据成员有:8字节大小的NAME,如果节区名称小于8个字节,则多余的用0填充,否则全部填充节名,末尾不保证有1个0,同样会被名字填充。VirtualSize指出实际的节区大小。VirtualAddress为节区被装载到内存中的RVA地址。PointerToRawData为节区在PE文件中的便宜。Characteristics为节区的属性,如可读、可写、可执行等。
IMAGE_SECTION_HEADER的[......]

继续阅读

分类: PE文件格式 标签: ,

PE文件之IMAGE_OPTIONAL_HEADER

2011年3月12日 没有评论

可选头位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选头的大小由文件头中倒数第二个成员指定。
可选头中重要的数据成员有:
第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0×00400000。SectionAlignment为内存中节的对齐大小,一般为0×000[......]

继续阅读

分类: PE文件格式 标签: ,

PE文件之IMAGE_FILE_HEADER

2011年3月12日 没有评论

IMAGE_NT_HEADERS的第一个成员是一个DWORD类型的PE签名,第二个成员就是IMAGE_FILE_HEADER了。IMAGE_FILE_HEADER的大小为20字节。第一个成员为WORD类型的Machine,这个通常为0x014C(intel 386系列CPU);第二个成员为WORD类型的NumberOfSections,即文件中节的数量,这个对应的文件具体的节区数量。第三个成员为DWORD类型的TimeDateStamp,是一个时间戳,对应于从1970年1月1日开始的秒数。第四个[......]

继续阅读

分类: PE文件格式 标签: ,

PE文件之IMAGE_NT_HEADERS

2011年3月12日 没有评论

继续看PE文件格式:IMAGE_NT_HEADERS紧接在DOS Stub之后,其位置由IMAGE_DOS_HEADER中的e_lfanew所指;IMAGE_NT_HEADERS由三部分组成,他们分别是DWORD类型的PE签名Signature;IMAGE_FILE_HEADER类型的FileHeader;以及IMAGE_OPTIONAL_HEADER32类型的OptionalHeader。IMAGE_NT_HEADERS总的大小为248字节,其中签名占用4字节,文件头占用20字节,可选头占用2[......]

继续阅读

分类: PE文件格式 标签: ,

PE文件之IMAGE_DOS_HEADER

2011年3月12日 5 条评论

Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。
不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。
PE文件的第一个部分是IMAGE_DOS_HEADER,大小为64B,这里面有两个重要的数据成员。第一个为e_magic,这个必须为MZ,即0x5A4D。当然,0x5A[......]

继续阅读

分类: PE文件格式 标签: ,

Windows JDK环境变量配置

2010年11月23日 没有评论

首先下载JDK,现在甲骨文的JDK需要注册才能下载,显得很麻烦,这里提供一个JDK下载地址:http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe
下载完后安装JDK,默认安装在C:\Program Files\Java\目录下面。
选中“我的电脑”点右键,选择“属性”,选择“高级”标签,进入环境变量设置。
首先:在“系统变量”[......]

继续阅读

Ylmf XP 8.0 VMWare下安装序列号

2010年10月16日 2 条评论

今天开始看DDK,每周看一点,不会看太多。那就装虚拟机吧,然后是在VMWare下面安装雨林木风的Ylmf XP安装版8.0,却提示需要序列号,找了好久都找不到。最终还是让我给找到了KG7G9-67KHV-4FQKV-4DYXK-BHQTJ。可以通过序列号验证。

分类: Windows驱动开发 标签: , , ,