Modest的专栏

vb6内嵌汇编实现图像快速对比

Modest — Thu, 03 Jul 2008 18:32:00 +0800

vb6内嵌汇编实现图像快速对比，1024x768的两个图像对比最快仅用时4ms (XP/2.4G/512M) (声明：魏滔序原创，转贴请注明出处。)

vb6内嵌汇编实现图像快速对比

Modest — Sun, 08 Jun 2008 19:36:00 +0800

vb6内嵌汇编实现图像快速对比，1024x768的两个图像对比最快仅用时4ms (XP/2.4G/512M)。

通过URL从Temporary Internet Files得到本地文件路径的函数

Modest — Wed, 04 Jun 2008 22:21:00 +0800

通过URL从Temporary Internet Files得到本地文件路径的函数

利用 Microsoft 的 HTML 分析器来获得 Web 站点的数据

Modest — Fri, 04 Apr 2008 23:31:00 +0800

本文讨论如何收集来自 Web 的信息，并借助 Internet Explorer 的可重用分析器组件，将它分布到其他 Web 页或数据库。

SQL 2005 开启OpenRowset/OpenDatasource的办法

Modest — Fri, 28 Mar 2008 19:55:00 +0800

在SQL2005中，MS为安全考虑默认阻止了OpenRowset和OpenDatasource。如果未被开启会有如下的错误提示：SQL Server 阻止了对组件 'Ad Hoc Distributed Queries' 的 STATEMENT'OpenRowset/OpenDatasource' 的访问，因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'Ad Hoc Distributed Queries'。有关启用 'Ad Hoc Distributed Queries' 的详细信息，请参阅 SQL Server 联机丛书中的 "外围应用配置器"。

非常规手段免疫U盘病毒(Autorun.inf)

Modest — Fri, 28 Mar 2008 17:46:00 +0800

Autorun.inf是windows下操纵光盘行为的一个文件，需要放在光盘根目录下，部分操作对于硬盘或U盘也适用。一般情况出现除光盘外的其他存储介质分区下十有八九不正常，很有可能是设了陷阱，让你打开分区的时候同时执行病毒文件。此类型的病毒会利用Windows的隐藏文件功能结合注册表实现隐身大法，普通用户很难发现并解除掉。下面给大家一个一劳永逸的方法，用非常规手段对其免疫。防范病毒，人人有责。

Win32汇编实现判断进程是否拥有某特殊权限

Modest — Tue, 11 Mar 2008 17:34:00 +0800

本文做为《Win32汇编实现提升进程Debug权限的两种方法》的姊妹篇发布，希望在需要的时候为大家提供参考。

VB6实现枚举进程所拥有的特权(增强版)

Modest — Mon, 10 Mar 2008 18:02:00 +0800

本文在原文基础上增加了两个转换函数LookupPrivilegeName和LookupPrivilegeDisplayName，从而可以完美的输出权限的名称和权限的描述。

VB6实现枚举进程所拥有的特权

Modest — Fri, 07 Mar 2008 20:55:00 +0800

特权嘛，当然就是特殊权限了。至于什么是进程的特殊权限，请参考MSDN。提升进程权限的方法请参考笔者的《Win32汇编实现提升进程Debug权限的两种方法》一文，可以很容易修改成提供进程其他权限的程序。本文的内容是枚举进程中所有的特殊权限，以数组的方式返回权限值。每个权限值具体代表了什么，从变量的名称可考究一二，不明白的地方还是参考MSDN。

从管理员身份获得 SYSTEM 权限的四种方法

Modest — Fri, 07 Mar 2008 00:19:00 +0800

本文总结了 4 种方法获得 SYSTEM 权限来运行 regedit.exe 文件，源代码很容易修改成命令行方式运行指定的程序。1. 以服务方式运行2. 添加 ACL 的方法3. HOOK ZwCreateProcessEx 函数4. 远程线程的方法

Win32汇编实现枚举进程(PSAPI.DLL)

Modest — Sat, 02 Feb 2008 05:27:00 +0800

EnumProcesses是PSAPI提供的导出函数，利用该函数可以在无须快照的情况下枚举进程，甚至可以枚举出一些简单的隐藏进程。本例中的枚举用到了回调过程，在回调过程中用户可以随时决定是否中断枚举，从而有效的控制枚举过程。另外，进程隐藏与否的状态也可以在回调过程的参数中取得。如果结合笔者的一篇《Win32汇编实现提升进程Debug权限的两种方法》文章，则可以进一步扩大枚举范围。本例在XP(SP2)和Vista下测试通过。

Win32汇编实现提升进程Debug权限的两种方法

Modest — Wed, 23 Jan 2008 02:04:00 +0800

提升进程Debug权限的原因就不说了，常规提升操作的方法是OpenProcessToken、LookupPrivilegevalue、AdjustTokenPrivileges，本文的方法一也不例外，方法二是使用微软未公开的API函数RtlAdjustPrivilege，相对代码要简洁的多。两种方法在Vista和XP下测试通过。

Win32汇编实现DLL的远程注入及卸载

Modest — Mon, 21 Jan 2008 01:58:00 +0800

所谓DLL远程注入，就是强迫DLL程序运行在其他进程中，这样做的目的无非有两种：第一是伪装自身，第二是控制宿主。前者常见于病毒或木马，后者则一般用于正规之场合，比如常见的输入法、外挂等等，有时Hook(钩子)也用到该技术。由此可见，技术是把双刃剑，区别在于使用技术的人。

反病毒引擎设计

Modest — Thu, 03 Jan 2008 05:52:00 +0800

本文将对当今先进的病毒/反病毒技术做全面而细致的介绍，重点当然放在了反病毒上，特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术，包括获取系统核心态特权级，驻留，截获系统操作，变形和加密等。然后分五节详细讨论虚拟机技术：第一节简单介绍一下虚拟机的概论；第二节介绍加密变形病毒，作者会分析两个著名变形病毒的解密子；第三节是虚拟机实现技术详解，其中会对两种不同方案进行比较，同时将剖析一个查毒用虚拟机的总体控制结构；第四节主要是对特定指令处理函数的分析；最后在第五节中列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术，由于win9x和winnt/2000系统机制和驱动模型不同，所以会分成两个操作系统进行讨论。其中涉及的技术很广泛：包括驱动编程技术，文件钩挂，特权级间通信等等。本文介绍的技术涉及操作系统底层机制，难度较大。所提供的代码，包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码，具有一定的研究和实用价值。

API拦截—实现Ring3全局HOOK

Modest — Thu, 03 Jan 2008 05:45:00 +0800

首先来解释一下这次的目标。由于windows的copy-on-write机制（Ring0下可以用CR0寄存器关掉它），Ring3下的HOOK只对当前进程有效，其他进程的API还是正常的。这就是说我们必须枚举进程，然后对每个Ring3进程执行一遍HOOK操作。但是，系统中总有新进程产生，对于这些新进程我们怎么处理呢？最容易想到的就是设置一个TIMER，每隔一段时间就枚举一遍进程然后把新的挂钩。但仔细一想就知道不行，TEMER过快严重影响系统效率，慢了又起不到作用，况且windows不是一个实时操作系统，没人能保证到时间TEMER就被激活。如果我们能监控进程创建，并在他们真正运行之前就执行挂钩操作，就可以完美的解决问题。