XiCao i am 007

文章列表

FAT32彻底删除文件入口的快速定位方法

2009-11-02 13:53

FAT文件系统彻底删除文件时，文件系统做了以下几件事情：

1.目录表项首字节改为E5，作为文件删除标记；

2.目录表项偏移14、15两个字节的文件初始簇入口高位字节被清0；

3.相应的文件链表被清空。

要完整恢复文件，1是最好解决的。但2、3两部分则成为难点。本文的目的在于解决第二点，对文件的真正入口进行快速准确地定位。

一、原理：

删除文件过程，入口参数的低位字节不变，意味着文件的真正可能入口是以低位字节为基础，以10000H(65536)个簇为间隔跳变的。也就是说，FAT32文件系统

阅读全文>>

类别：Notes | 评论(1) | 浏览()

[VC]最全的操作系统版本判断

2009-10-30 10:46

#include <shlwapi.h>
#include <tchar.h>

#define VER_SUITE_EMBEDDEDNT 0x00000040
#define SM_TABLETPC             86
#define SM_MEDIACENTER          87
#define SM_STARTER              88
#define SM_SERVERR2             8

阅读全文>>

类别：vc++ | 评论(0) | 浏览()

[转帖]逆向某上网记录检查软件核心代码

2009-09-24 22:17

夕草友情提示：以下是achillis逆向某工具的代码，这份代码每次 i += 0x80，是根据index.dat的blocksize为0x80来加快搜索速率，不过这样遗漏了很多URL LEAK标志不在能整除0x80地址上的信息，实际检测中的确少于其他同类软件。所以还是逐字节检索，适当跳过无效信息或者block块比较妥当。另外可以根据index.dat文件中的UrlEntry结构适当多做些判断，免得擦除标志时误擦正常文件，最后导致文件损坏/系统异常

////////////////////////////////////////////////代码开始///////////////////////////////////////////////////

阅读全文>>

类别：vc++ | 评论(2) | 浏览()

index.dat文件剖析

2009-09-23 16:38

index.dat文件剖析

misterliwei

一．前言

注重上网隐私和安全的人在每次上网后都会清除上网痕迹——“删除cookies”、“删除掉上网的临时缓存文件”以及“删除上网历史”。你觉得这样，所有的一切都会被擦除掉了。但是如果有人告诉你：这是不够的，系统中还有一些地方保存了你的上网信息，你是不是感到很恐慌？——这就是系统中的index.dat文件。

Windows系统中会存在三个index.

阅读全文>>

类别：vc++ | 评论(0) | 浏览()

[转载]结合注册表获取USB优盘序列号

2009-08-31 11:40

//---------------------------------------------------------------------------
// 获取优盘序列号的代码, by ccrun(老妖)
// 参考: http://www.2ccc.com/article.asp?articleid=4167
// 以下代码在 C++Builder 6.0 和 VC 6.0 中编译通过
// 看帖请回帖, 转帖请留名.
//---------------------------------------------------------------------------

#include <setupapi.h>
#include <stdio.h>
#include <obj

阅读全文>>

类别：vc++ | 评论(0) | 浏览()

Delphi、C/C++数据类型的对照

2009-07-28 11:29

================================================================================
变量类型 Delphi C/C++

阅读全文>>

类别：vc++ | 评论(0) | 浏览()

Windows中如何获取键盘和鼠标处于空闲状态的时间

2009-07-27 09:35

GetLastInputInfo是Windows中获取键盘和鼠标空闲时间的API
　　1.调用函数GetLastInputInfo()以后, 结构成员lpi.dwTime 中的值并非上次输入事件发生以后的毫秒数。而是上次输入事件发生时的系统运行时间。相当于上次输入事件发生时执行了lpi.dwTime=::GetTickCount()。::GetTickCount()-lpi.dwTime才是上次输入事件发生以后的毫秒数。
　　2.如原文中所说windows2000以上系统才支持函数GetLastInputInfo()因此有可能需要在StdAfx.h中加上如下语句：
　　#ifdef _WIN32_WINNT
　　#undef _WIN32_WINNT
　

阅读全文>>

类别：vc++ | 评论(0) | 浏览()

走近虚拟机 ——McAfee研究员孙冰谈虚拟机技术和虚拟机安全

2009-07-26 09:41

一、关于虚拟机技术的背景知识

1、Emulator和Virtualizer的区别

现在很多杀毒软件里面有所谓的智能脱壳功能，其实它就是用一个Emulator模拟器来解释执行机器指令，比如说x86的机器语言是一条一条来被翻译执行的。而Virtualizer并不是由软件来模拟执行，而是使这个代码尽可能自然地在当前的处理器上运行，而虚拟机监控器只需要在某些特定时候进行干预，比如说来处理一些特权指令操作。

Emulator中比较有名的一个是BOCHS，可能有一些朋友用它来进行过一些操作系统级的调试。这是一个开源的软件，在网上可以下

阅读全文>>

类别：Notes | 评论(0) | 浏览()

购买透明加密系统的十二个基本考查点

2009-07-10 13:21

1、文档透明加密系统是基于文件驱动技术，还是基于Hook技术？

这是透明加密系统的两大流派，也是区分透明加密系统的最重要的指标之一。这可以简化为这样一个问题：加密软件的客户端是怎样来监控文件的读写？文件驱动方式，程序工作在操作系统的底层（即驱动层），它监控的是操作系统和硬件设备的会话。API Hook方式，程序工作在操作系统和应用软件之间，是在操作系统的高层运行，它监控的是操作系统和应用软件的会话。

所以，文件驱动技术是针对操作系统而言

阅读全文>>

类别：Notes | 评论(1) | 浏览()

DirectUI底儿朝天

2009-07-06 15:09

零碎收集到得资料,原作者已经隐藏了blog相关部分内容，这里权作备份。

DirectUI XML渲染器正式登场.

我们现在所知道的是,无论是MSN还是OC,其使用DirectUI的方式都是以解析XML实体信息生成界面这种途径进行,那么我们能否用类似的方法来生成DUI界面呢?答案是肯定的.

虽然之前已经找到运行时创建各类型元素实例的方法,但毕竟在VC层面来做是繁琐的,而且为其设置各种属性还要通过DirectUI::Value类型来进行,虽说可以找到常见的Wrapper仍不理想;另一方面,要描述元素的一些动态效果,如

阅读全文>>

类别：Notes | 评论(0) | 浏览()