今天看了一下Shotgun那个端口进程关联的代码,那是在Win2000下可以运行的,虽然得不到[System]8#进程的信息,但可以在普通账号下运行。到XP下有点小问题,只是因为2000和XP对句柄类型表示的枚举值不同,2000下是0x1A,而XP是经0x1C,改了就可以像2000下运行了。
于是我把这部分代码加到LLYF Spy里去,用一个TListView来显示信息,结果,有点怪的是,在XP下(因为现在在XP下用BCB)假如是得到一个有效的Socket句柄,要添加到TListView中去,如果直接有SubItem添加,则卡巴斯基那服务进程kavsvr.exe会不能OpenProcess,错误类型为5,但如果不加SubItem,即使只加Caption,则也可以全部显示出来,真是怪事。
后来,我的解决办法是,先开一个结构数组,把所有需要显示的信息都存入这个数组中,然后等所有端口进程关联信息取完后,再把这数组中的内容添加到TListView中,真是让人郁闷的事啊。
另外,今天发现,用PSAPI会比ToolHelp少枚举一些进程,比如kavsvr.exe就没有,还有一些0#,8#(2000下8#,到XP是4#)进程也不能枚举出来,所以,为了像系统中和任务管理器那样,是还是要用ToolHelp的。但是,现在很多木马啊什么的,都可以通过一些手段把自己的进程隐藏了,用ToolHelp这些就查看不出来了。是真的隐藏进程,而不是像DLL注入之类的无进程。
不过呢,kavsvr.exe和kav.exe真是的,用PSAPI和ToolHelp都打不开进程,想枚举它的Module都不行,所以连路径也找不到。不过偶然地发现,能用消息钩子把DLL注入到kav.exe进程空间里,呵呵。但kavsvr.exe是个服务进程,就注入不了了。
所以我就想找个能获得比Debug还要高的权限的方法,好像是Single吧。不过看来看去,网上的代码开放的都只能获得Debug权限,而Single权限的只有Patch内核的ShellCode,而且语焉不详,似乎从2000到XP,还有2003,都有不同的地方,比如某些关键内核参数的绝对地址不一样等等。
看了一些安焦论坛上的文章,看到那些牛牛们都提到一本书,《Windows NT/2000 Native API Reference》,上Google搜了一把,找到一个英文PDF下载的,下来看了看,好像讲的都是些ntdll.dll里导出的一些函数的参考,又看看MSDN,基本上没有这类函数的说明,原来这就是Native API呀!
昨天在给LLYF Spy添加TrayIcon上的Balloon ToolTip,于是在翻MSDN,翻了几下偶然地发现了一篇Creating Custom Explorer Bars, Tool Bands, and Desk Bands,hoho~~~ 原来XP下的快速启动栏,输入法栏,还有WMP那酷酷的操作栏都是这样做成的呀!不过命苦的是,我对COM一窍不通,还是不能实现像WMP那样的特性。
分享到:
相关推荐
LLYF ToolBox作为一款Windows程序员辅助工具集,包含了6个工具,分别是LLYF Spy、LLYF ProcessHelper、LLYF IconHelper、LLYF DebugCapture、LLYF DirectService、LLYF MD5Checker。虽然这次发布的LLYF ToolBox的...
XMLSPY2009 注册机。第一次注册需要把网线拔掉进行注册
标题中的“Spy4 win7.rar_spy4_spy4win7_spy4winwin7_spy查看窗口_查看窗口 title”表明这是一个与Windows操作系统相关的工具,特别是针对Windows 7设计的,名为“Spy4”。这个工具的主要功能是帮助用户查看和获取...
**标题:“spy lite spy++”** **描述:“spy++ 加强版,可获取窗口各类消息,灵活方便操作各类窗口”** **关键词:spylite、spy++** **正文:** `Spy Lite` 和 `Spy++` 是两种强大的Windows应用程序调试和分析...
《SPY4窗口句柄查看工具深度解析》 在Windows操作系统中,开发人员常常需要对窗口进行调试和分析,以了解应用程序的运行机制。而SPY4,作为一个专门的窗口句柄查看工具,成为了开发者们的得力助手。尤其是对于...
### spy3使用教程详解 #### 一、spy3入门概览与主要功能 **spy3**是一款由Intrepid Control Systems, Inc.开发的专业车载网络分析工具,主要用于CAN、LIN、FlexRay、Ethernet等多种车辆网络协议的监控、诊断及数据...
标题 "SPY c++builder 6 编写SPY源程序" 描述的是一个使用C++Builder 6(CBC6)开发的项目,其目的是创建一个类似于SPY的应用程序。这个程序可能涉及到系统监控、调试或者信息捕获等功能,因为"SPY"通常指的是能够...
64位 Spy++ 是一款专为64位操作系统设计的高效能、轻量级的Windows系统监控工具。这款工具主要用于帮助软件开发者、测试人员以及系统管理员深入理解Windows应用程序的内部运行机制,它提供了窗口、消息、过程以及...
Spy4Win, 适用于win10的版本. Spy4Win(Spy for Window)是一个类似MS Spy++的 辅助工具,主要功能是探测和获取窗口的更多信息 (窗口基本信息,样式描述及动态改变样式,识别控 件来源,窗口内容的读取,窗口消息截获,可视...
Vehicle Spy 3 是一款强大的车辆网络总线工具,它集数据监控、诊断和ECU仿真功能于一体。本篇学习手册将带你逐步了解其主界面、平台和数据库的使用。 首先,Vehicle Spy 3的主界面包含四个主要区域: 1. 区域一是...
《Vehicle Spy 详细中文教程》 Vehicle Spy 是一款由 Intrepid Control Systems, Inc. 开发的专业车载网络诊断和测试工具,广泛应用于汽车电子系统开发、调试和验证过程中。本教程将详细解读Vehicle Spy的各项功能...
"spy32 - 小巧好用的 windows spy 工具" 这个标题揭示了我们讨论的主题是一款名为 "spy32" 的软件,它是一款专为Windows操作系统设计的轻量级侦查工具。"小巧好用" 暗示该工具虽然体积不大,但功能强大且易于使用。 ...
《网络特工NetSpy——局域网病毒监测利器》 在信息化时代,网络安全的重要性日益凸显。网络特工NetSpy是一款专为局域网环境设计的网络监测工具,它旨在帮助用户实时监控网络中的病毒活动,保护系统免受恶意软件的...
Spy++ 是一款强大的Windows系统监控工具,主要用于调试和分析应用程序的用户界面(UI)和窗口操作。这个绿色工具被封装在名为"spy++.zip"的压缩包中,无需安装即可直接使用,为开发者提供了一个便捷的环境来检测和...
《SPY++源代码解析与学习指南》 SPY++是一款强大的Windows系统监视工具,它由Microsoft提供,用于查看和分析Windows消息系统、线程、进程以及窗口等元素。源代码的学习是深入理解其工作原理的关键,对于软件开发者...
**P6Spy 简介** P6Spy 是一个开源的数据库监控工具,它能够记录并分析应用程序与数据库之间的所有SQL交互。对于开发者而言,P6Spy 是一个强大的调试和性能分析工具,尤其在使用MyBatis或Hibernate等ORM框架时,能够...
标题中的“net-spy.rar”表明这是一个以RAR格式压缩的文件,通常用于打包和压缩多个文件以便于存储和传输。NETSPY和“_spy”可能是该程序的名称或者与其功能有关,暗示这是一个网络监控工具。"网络监控"是这个程序的...
Spy4Win, 适用于win10的版本. Spy4Win(Spy for Window)是一个类似MS Spy++的 辅助工具,主要功能是探测和获取窗口的更多信息 (窗口基本信息,样式描述及动态改变样式,识别控 件来源,窗口内容的读取,窗口消息截获,可视...
**SPY课程_spy_** 本课程主要围绕“SPY”工具进行学习,重点在于掌握其在脚本编辑和发送数据方面的应用。虽然提供的资料仅是部分笔记,但足以让我们窥见SPY的强大功能和使用技巧。下面我们将深入探讨SPY在IT领域的...