已经支持中文注释了 😉 ,猛击此处从官方网站下载!
SRVINSTW.EXE Fixed
修正点击Browser按钮浏览文件时不能选择sys文件的问题。
星际争霸2 地图加载背景
不知道为什么下载的游戏在地图加载的时候没有背景。其实要让地图在加载的过程中有背景图片已需要自己制作地图背景文件即可。
Glass CMD For Win 7
猛击此处下载程序,该版本未非插件模式。直接放入system32目录下运行glass.exe即可体验玻璃效果,适用于Win7 32位版本。
Keygener Assistant V1.6
QQ拼音输入法截图工具【单文件版】
MemLibrary 内存 加载DLL DELPHI
一个简单的例子:
type
mbf = function(hWnd: HWND; lpText, lpCaption: PChar; uType: UINT): Integer;
stdcall;
procedure TForm1.Button1Click(Sender: TObject);
var
h: integer;
mb: pointer;
ms: TMemoryStream;
begin
ms := TMemoryStream.Create;
ms.LoadFromFile('f:\user32.dll');
h := memLoadLibrary(ms.Memory);
if h > 0 then
begin
mb := memGetProcAddress(h, 'MessageBoxA');
if mb <> nil then
mbf(mb)(handle, 'test', 'test', mb_ok);
end;
memFreeLibrary(h);
ms.Free;
end;
代码未经测试,只是转载备用。
Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复 (续)
Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复 (续)
—Tmp81.exe文件的相关分析
今天看到杂志上编辑关于《Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复》一文的评论。感觉那么写确实是肤浅了一些,关键的地方没有进行分析。当时写那篇文章的目的就是文件的修复,所以没有对释放的文件进行进一步的分析。现在我们来分析病毒的全部幕后操作。
简单说下temp81文件的获取,用OD载入上篇文章中的病毒样本“ctc已感染.exe”,并且配置好相关的测试环境。运行FileMon排除掉系统进程以便减少数据量(主要监视“ctc已感染.exe”);同时运行Wireshark,选择相关网络适配器后开始捕获数据。在004D3132 FFD0 call eax 这一行下F2断点,F9运行程序,程序中断后定位到当前用户的temp文件夹下就可以看到释放的程序了,如图01。继续F9运行程序,程序完全运行后注意观察文件监视器(FileMon),发现tmp81.exe请求创建了以下的程序:6to4.dll(如02),lpk.dll(此文件请求失败,最终调用system32下的同名文件,如03),TempDel.Bat(图04)。虽然程序显示创建了TempDel.Bat但是由于最后释放的批处理文件功能是删除自身以及释放的文件,所以程序在运行后是找不到这个文件以及释放的tmp81.exe的。TempDel.Bat的获取在可以OD动态调试tmp81.exe的时候运行tmp81.exe就可以得到批处理文件的内容了,如图05,我们之所以能获取这个批处理文件是由于tmp81.exe正在执行中,所以会删除失败,通过批处理文件的内容可以看到如果删除失败,批处理会不断的尝试再次删除释放的文件直到删除成功,这就是我们为什么可以得到删除自身的批出来文件的原理了。