Mon, 29 Jan 2007 19:23:00 GMT如果左边栏过宽,挡住了正文,请设置浏览器字体为中来浏览,谢谢-IE设置步骤:(顶部菜单) 查看-->文字大小-->中http://blog.csdn.net/sunwang123456/http://blog.csdn.net/sunwang123456/archive/2007/01/29/1497353.aspx永久关闭！<img src ="http://blog.csdn.net/sunwang123456/aggbug/1497353.aspx" width = "1" height = "1" />Tue, 30 Jan 2007 03:23:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2007/01/29/1497353.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2007/01/29/1497353.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244476/1208324http://blog.csdn.net/sunwang123456/archive/2005/12/04/543315.aspxLoad and Unload<img src ="http://blog.csdn.net/sunwang123456/aggbug/543315.aspx" width = "1" height = "1" />Sun, 04 Dec 2005 22:50:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/12/04/543315.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/12/04/543315.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244477/1208324http://blog.csdn.net/sunwang123456/archive/2005/11/18/532332.aspx不少人问NtUserSetWindowsHookEx返回的HHOOK怎么换成PHOOK，这里说明一下。 主要是找到那个转换函数地址直接调用就是了。 原理: 找到 win32k ssdt的NtUserUnhookWindowsHookEx的函数入口， 直接取@HMValidateHandle@8 的地址 <img src ="http://blog.csdn.net/sunwang123456/aggbug/532332.aspx" width = "1" height = "1" />Fri, 18 Nov 2005 23:14:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/18/532332.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/18/532332.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244478/1208324http://blog.csdn.net/sunwang123456/archive/2005/11/11/527714.aspxIS的进程列出好对付，但是别人的进程列出，嘿嘿——郁闷 IS的直接文件I/O的注册表好对付，我挂接磁盘驱动特征自己 的注册表项数据，但是别人用DMA读写磁盘.... IS的文件隐藏好对付，我挂接磁盘驱动，一样郁闷掉他，可是 别人DMA读取NTFS的MFT。。。。 ....郁闷阿<img src ="http://blog.csdn.net/sunwang123456/aggbug/527714.aspx" width = "1" height = "1" />Sat, 12 Nov 2005 03:10:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/11/527714.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/11/527714.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244479/1208324http://blog.csdn.net/sunwang123456/archive/2005/11/09/525695.aspx最近成果-透明加密文件系统SDK-支持透明加密解密-手动加密解密-目录加密解密-指定进程加密-指定后缀加密-指定非法进程--支持Office文件加密解密-打开文件时加密－锁定驱动器等<img src ="http://blog.csdn.net/sunwang123456/aggbug/525695.aspx" width = "1" height = "1" />Wed, 09 Nov 2005 10:38:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/09/525695.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/11/09/525695.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244480/1208324http://blog.csdn.net/sunwang123456/archive/2005/10/27/517765.aspx1. 关于sysenter sysexit wrmsr rdmsr请看cpu手册 P4_IA32 Intel Architecture Software Developer's Manual 24547110.pdf page 3-763 2.xp初始化流程 KeInitSystem->KiInitMachineDependent->KiRestoreFastSyscallReturnState->KiLoadFastSyscallMachineSpecificRegisters->WRMSR <img src ="http://blog.csdn.net/sunwang123456/aggbug/517765.aspx" width = "1" height = "1" />Thu, 27 Oct 2005 21:13:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/27/517765.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/27/517765.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244481/1208324http://blog.csdn.net/sunwang123456/archive/2005/10/26/516820.aspxblocker 1.0.0.8 2003-10-15,sunwang 一、功能： 1.隐藏任意文件/目录 2.禁止访问任意文件/目录 3.隐藏任意注册表子键 4.禁止访问任意注册表子键 5.隐藏任意进程[NT系列] 6.自启动任意进程[95系列] 7.自定义可信赖进程（可以访问被保护的文件/目录，和/或者子键），并采用CRC32校验 <img src ="http://blog.csdn.net/sunwang123456/aggbug/516820.aspx" width = "1" height = "1" />Wed, 26 Oct 2005 19:51:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/26/516820.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/26/516820.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244482/1208324http://blog.csdn.net/sunwang123456/archive/2005/10/26/516792.aspx研究心得-恢复2k xp得win32k.sys得KeServiceDescriptorTableShadow 全部代码，要得找我<img src ="http://blog.csdn.net/sunwang123456/aggbug/516792.aspx" width = "1" height = "1" />Wed, 26 Oct 2005 19:18:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/26/516792.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/26/516792.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244483/1208324http://blog.csdn.net/sunwang123456/archive/2005/10/24/514634.aspx这两天一夜，做了一些代码和库，为了干掉cnnic 3721的保护： 1. hook ssdt for reg 2. hook ssdt for file 3. hook ssdt for gdi 4. kernel file io wrapper (delete file by nativeapi=ZwXXX, deleteonclose) 5. fsd direct file io wrapper (delete file by nativeapi=SetXXX,send irp to fsd vdo) 6. send irp to fsd vdo bypass filters 7. shadow device of fsd filter in order to fix reentry bug 8. restore fsd driver majorfunction pointer and entry code by signature of ntfs.sys fastfat.sys from memory and disk image 9. hook pe libr<img src ="http://blog.csdn.net/sunwang123456/aggbug/514634.aspx" width = "1" height = "1" />Mon, 24 Oct 2005 20:10:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/24/514634.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/24/514634.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244484/1208324http://blog.csdn.net/sunwang123456/archive/2005/10/20/510036.aspx是pageing的就不是cache的.不是cache的就是paging的么?不是! 见osr3.但这种情况==FILE_NO_INTERMEDIATE_BUFFERING,并且是以扇区为单位做io的.对于做stream encrypt不用管如rc4，但是如果是block encrypt如des还是要区别一下.FILE_NO_INTERMEDIATE_BUFFERING是自己对齐的<img src ="http://blog.csdn.net/sunwang123456/aggbug/510036.aspx" width = "1" height = "1" />Thu, 20 Oct 2005 22:23:00 +0800sunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/20/510036.aspxsunwangmehttp://blog.csdn.net/sunwang123456/archive/2005/10/20/510036.aspxhttp://blog.csdn.net/sunwang123456/feed.aspxcsdn.net/sunwang123456/~1208349/212244485/1208324