如何用 C 注册 windows 服务程序 (分析 Java Service Wrapper 代码) 前提: 从http://wrapper.tanukisoftware.org 下载 Java Service Wrapper 的源代码. 因为 Java Service Wrapper 同时提供windows 和 linux 上的实现,所以源文件夹里的代码都是分两份的. 在windows下的实现注册 windows 服务的代码在wrapper_win.c 文件中. 看了其中的代码后你会对作者的专业精神有深刻的体会,在wrapper_win.c文件中的历史变动说明就有300多行,详细描述了每次改动的变化.具体实现的方法中也都有详细的说明,所以看这样的代码基本上不费力气的. 如果非要说看代码是享受, Java Service Wrapper 的源代码算一个. 下面我们看看它是如何实现注册一个exe文件为windows服务的. wrapper_win.c中的入口main 函数定义如下: void _CRTAPI1 main(int argc, char **argv) //注意main定义的修饰_CRTAPI1 根据argv的输入参数分别执行,注册,取消,开始,停止windows服务的操作: 代码如下: if(!_stricmp(argv[1],"-i") || !_stricmp(argv[1],"/i")) { result = wrapperInstall(argc, argv); //注册服务 } else if(!_stricmp(argv[1],"-r") || !_stricmp(argv[1],"/r")) { result = wrapperRemove(); //取消注册 } else if(!_stricmp(argv[1],"-t") || !_stricmp(argv[1],"/t")) { result = wrapperStartService(); //启动服务 } else if(!_stricmp(argv[1],"-p") || !_stricmp(argv[1],"/p")) { result = wrapperStopService(TRUE); //停止服务 }
功能:将字符串str2复制到字符串str1中,并覆盖str1原始字符串,可以用来为字符串变量赋值。
Alien Swarm最初是免费游戏,大约于2010年7月发行。它与大多数Source Engine游戏不同,它是自上而下的射击游戏,尽管其游戏元素与《 Left 4 Dead》并无不同。跌倒了,一个小而敬业的社区使用Alien Swarm:Reactive Drop扩展了游戏。该游戏在高峰时期平均每天约有800个用户,并且仍在积极更新中。
Author: bakari Date: 2012/8/9 继上篇。。。。。 下面是我写的代码与源码作的一些比较,均已严格测试通过,分别以“string 之”系列述之。 下面包括strcmp , stricmp , strncmp函数 1 //strcmp 2 int Mystrcmp(const char *str1, const char *str2); 3 int Mystricmp(const char *str1, const char *str2); 4 int Mystrncmp(const
功能:将字符串str2复制到字符串str1中,并覆盖str1原始字符串,可以用来为字符串变量赋值
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/137374.html原文链接:https://javaforall.cn
在之前的《SkeyeRTSPLive高效转码之SkeyeVideoDecoder高效解码》系列文章中我们已经将视频解码成了原始图像数据(YUV/RGB),然后根据不同的转码需求进行编码。如视频分辨率缩放,调整码率,多码率输出等;为了解决转码过程中编码高分辨率高质量或者高压缩率(如H265)耗时的问题,我们采用Nvidia硬件驱动编码器进行编码,以追求最高效率的转码和最低的推送延迟。
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。
内容 : 包含一些常用的算法 例如排序查找 , 还有常用的数据类型 例如可变长数组 , 链表 , 字典等.
DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。
现场好多地方反馈记录全采出来,无法入库。实际上采集部门专门做有一数据分析入库工具,但不是标准的,每个地方都需要采集部门特殊改。
用 法: char *strstr(char *str1, char *str2);
监控进程的启动与退出可以使用 PsSetCreateProcessNotifyRoutineEx 来创建回调,当新进程产生时,回调函数会被率先执行,然后执行我们自己的MyCreateProcessNotifyEx函数,并在内部进行打印输出。
一、字符操作 函数名: fputc 功 能: 送一个字符到一个流中 用 法: int fputc(int ch, FILE *stream); 函数名: fputs 功 能: 送一个字符串到一个流中 用 法: int fputs(char *string, FILE *stream); 函数名: sprintf 功 能: 输出数据到一字符串中(而printf是输出到屏幕上) 函数名: fread 用 法: fread(fa,4,5,fp); 功 能: 其意义是从fp所指的文件中,每次读4个字节(一个实数)送入实数组fa中,连续读5次,即读5个实数到fa中 函数名: strncmp 用 法: extern int strncmp(char *s1, char *s2, int n); 功 能: 比较字符串s1和s2的前n个字符。 详 细: 逐次比较两个字符串前n个字符中的每一个字符(用第一个字符串的字符的ASCII值减去第二个字符串的相应字符的ASCII值),如果相等则继续比较下一个;如果不等,ASCII的差值就是返回值。 函数名: isalnum 原型:extern int isalnum(int c); 用法:#include <ctype.h> 功能:判断字符c是否为字母或数字 说明:当c为数字0-9或字母a-z及A-Z时,返回非零值,否则返回零。 函数名: isalpha 原型:extern int isalpha(int c); 用法:#include <ctype.h> 功能:判断字符c是否为英文字母 说明:当c为英文字母a-z或A-Z时,返回非零值,否则返回零。 函数名: iscntrl 原型:extern int iscntrl(int c); 用法:#include <ctype.h> 功能:判断字符c是否为控制字符 说明:当c在0x00-0x1F之间或等于0x7F(DEL)时,返回非零值,否则返回零。 函数名: isdigit 原型:extern int isdigit(int c); 用法:#include <ctype.h> 功能:判断字符c是否为数字 说明:当c为数字0-9时,返回非零值,否则返回零。 函数名: islower 原型:extern int islower(int c); 用法:#include <ctype.h> 功能:判断字符c是否为小写英文字母 说明:当c为小写英文字母(a-z)时,返回非零值,否则返回零。 函数名: isascii 原型:extern int isascii(int c); 用法:#include <ctype.h> 功能:判断字符c是否为ascii码 说明:当c为ascii码时,返回非零值,否则返回零。ascii码指0x00-0x7F之间的字符 函数名: isgraph 原型:extern int isgraph(int c); 用法:#include <ctype.h> 功能:判断字符c是否为除空格外的可打印字符 说明:当c为可打印字符(0x21-0x7e)时,返回非零值,否则返回零。 函数名: isprint 原型:extern int isprint(int c); 用法:#include <ctype.h> 功能:判断字符c是否为可打印字符(含空格) 说明:当c为可打印字符(0x20-0x7e)时,返回非零值,否则返回零。 函数名: ispunct 原型:extern int ispunct(int c); 用法:#include <ctype.h> 功能:判断字符c是否为标点符号 说明:当c为标点符号时,返回非零值,否则返回零。 标点符号指那些既不是字母数字,也不是空格的可打印字符。 函数名: isspace 原型:extern int isspace(int c); 用法:#include <ctype.h> 功能:判断字符c是否为空白符 说明:当c为空白符时,返回非零值,否则返回零。 空白符指空格、水平制表、垂直制表、换页、回车和换行符。 函数名: isupper 原型:extern int isupper(int c); 用法:#include <ctype.h> 功能:判断字符c是否为大写英文字母 说明:当c为大写英文字母(A-Z)时,返回非零值,否则返回零。 函数名: isxdigit 原型:extern int isxdigit(int c); 用法:#include <ctype.h> 功能:判断字符c是否为十六进制数字 说明:当c为A-F,a-f或0-9之间的十六进制数字时,返回非零值,否则返回零。 函数名: toascii 原型:extern int toascii(int c);
在VS2017中编译好SNMP++后,关于如何在VS2017中编译使用SNMP++这个库,可以参考VS2017编译SNMP++步骤记录这篇文章。 参考使用下面的示例代码:
1、单例:单例模式是一种使用广泛而又比较简单的设计模式,他的定义我就不多介绍了,大家上网一查就知道了,基本都能理解。在游戏开发中,会有很多单件,所以封装一个单例类供后面的开发使用。
函数名: strcpy 功 能: 拷贝一个字符串到另一个 用 法: char *stpcpy(char *destin, char *source); 程序例:
通常服务器是放在内网中,内部局域网中,并且分配了私有IP地址,而如果想要在外部直接访问内部服务器则需要端口映射,端口映射也叫做端口转发,或者叫做虚拟服务器,在渗透时当我们拿到目标机器权限以后,目标机器实在内网环境中,如果想要外部直接访问内部的特定机器的特定端口,则需要使用映射来实现,常用的映射工具是LCX,或者自己实现。
一点都不复杂,按照url格式分析就可以了。 bool httpclient::urlparse(std::string urlin, urlitem & out) { bool ret = false; int i = 0; if (_stricmp(urlin.substr(0, 4).c_str(), "http") != 0) return false; int lastpos = 0; int pos = 0; std::string
本篇文章讲解的是开发 Windows Mobile 上的今日插件。关于是今日插件,在 PPC 或者 SP SDK 的帮助文档中有相关的章节介绍,在网络上也有一些帖子和资源讲解。在这里简要回顾一下。今日插件就是在windows mobile的桌面上显示的条目,例如系统提供的“日历”(Calendar),主人信息,以及许多第三方开发的今日插件等等。由于桌面是开机后的第一个屏幕,所以插件显示在屏幕上将会得到用户最多的浏览时间。这里我们主要讲解的是用户自定义插件的开发。自定义插件如下图所示:
最近不少公众号,甚至是大V都在转发红警代码开源的文章,有的是23年6月份就说这事了,有的是这几天发布的,而文章内容大都有这么一词,“最近”,也就是红警代码开源的时间。小义就纳闷了,红警95版代码2020年的时候不就开源了吗?难道又开源其他东西了,仔细核查才发现是同一件事,互联网果然是没有记忆的,以前的热点现在拿出来炒也很香。
看ASCA码,str1 > str2,返回值 > 0;两串相等,返回0 程序例:
最近2周比较忙,没有抽出时间来写Blog,不过在这段时间里面把整个思路理了一遍,梳理了一下大纲,以后会多抽时间来写Blog。
1.先通过ActiveProcessLinks遍历 2.设置桩点,保证循环一遍就结束 3.通过PsGetProcessImageFileName来获取名字 代码如下: UCHAR *PsGetProcessImageFileName(__in PEPROCESS eprocess);//导出下使用. NTSTATUS LookupProcessByName(IN PCHAR pcProcessName, OUT PEPROCESS *pEprocess) { PEPROCESS pCurE
KMP算法是一种高效的字符串匹配算法,它的核心思想是利用已经匹配成功的子串前缀的信息,避免重复匹配,从而达到提高匹配效率的目的。KMP算法的核心是构建模式串的前缀数组Next,Next数组的意义是:当模式串中的某个字符与主串中的某个字符失配时,Next数组记录了模式串中应该回退到哪个位置,以便继续匹配。Next数组的计算方法是找出模式串每一个前缀中最长的相等前缀和后缀,并记录下来它们的长度,作为Next数组中的对应值。
当你需要在Windows操作系统中监控进程的启动和退出时,可以使用PsSetCreateProcessNotifyRoutineEx函数来创建一个MyCreateProcessNotifyEx回调函数,该回调函数将在每个进程的创建和退出时被调用。
字符串处理函数包括几大类可以满足对char*字符串大部分操作,需要包括头文件<cstring>或者<string.h>。我是更喜欢用string类操作字符串的,只是我家小朋友刚开始学指针,而字符串操作是非常适合练基本功的。所以选几种操作讲讲,看它们如果不用库函数是怎么实现的:
访问目录文件夹下的文件是经常需要的操作,C/C++和win32接口都没有提供直接调用的函数。在这里总结了几个经常用到的函数,通过MFC的CFileFind函数递归遍历实现,包括以下几个功能函数:
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试器调试它的痕迹,其中包括使用Windows API、手动检测调试器人工痕迹的内存结构,查询调试器遗留在系统中的痕迹等。调试器探测是恶意代码最常用的反调试技术。 1.使用Windows API 使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了这样一些API,应用程序可以通过调用这些API,来检测自己是否正在被调试。这些API中有些是专门用来检测调试器的存在的,而另外一些API是出于其他目的而设计的,但也可以被改造用来探测调试器的存在。其中很小部分API函数没有在微软官方文档显示。通常,防止恶意代码使用API进行反调试的最简单的办法是在恶意代码运行期间修改恶意代码,使其不能调用探测调试器的API函数,或者修改这些API函数的返回值,确保恶意代码执行合适的路径。与这些方法相比,较复杂的做法是挂钩这些函数,如使用rootkit技术。 1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。
最近在实验室用ftp下点东西,但是由于实验室晚上12点就会断电。于是 需要在此之前关掉机器,图省事就用WindowsXP自带的计划任务每次设置 成11:50就调用“shutdown -s”命令自动关机。但是好几次都发现没法 正常关机,第二天早上起来就会检测磁盘。于是就做了个实验,发现确实 当使用flashfxp下载东西时,关机会不能正常关机,等待确定终止flashfxp 程序。
上面只是简单的介绍函数原型和功能,如果想对函数进一步了解可以下载以下文档 (内含详解与实例):
今天在使用STL中的hash_map模板遇到使用PTCHAR作为Key时无法对字符串进行正确比较的问题。 hash_map类在头文件hash_map中,和所有其它的C++标准库一样,头文件没有扩展名。如下声明: class hash_map<class _Tkey, class _Tval> { private: typedef pair<_Tkey, _Tval> hash_pair; typedef list<hash_pair> hash_list; typedef v
下面我们讲解下SkeyeExPlayer的截图功能,截图原理就是将YUV/RGB原始数据压缩成jpg或者png等格式(当然bmp格式是不需要压缩的),然后存储成文件的过程;我们以jpg格式为例进行讲解;一般情况下可以使用libjpeg库进行jpeg格式压缩,在不使用libjpeg的情况下,可以使用ffmpeg(内部也集成了libjpeg库)提供的接口进行压缩并写文件,这个方式也普遍适用于写MP4或者其他文件,下面我们讲解下ffmpeg进行截图的流程。
在前面的文章中LyShark一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以监控进程线程创建为例,在Win10系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。
不管杀毒软件流氓不流氓,在如今病毒肆虐的当下互联网,装一个还是能帮我们拦截很多意想不到的东西,为了眼见为实,这一篇我们就聊一个窃听 键盘事件 的恶意代码。
这次分析的是一个exe +dll文件,很明显,在exe执行的时候应该要动态链接该dll的,那就一个个分析,逐一攻破。
Generic SBCS UNICODE TCHAR char wchar_t _TEOF EOF WEOF _TINT int wint_t _TSCHAR signed char wchar_t _TUCHAR unsigned char wchar_t _TXCHAR char wchar_t __T(x) x L __targv __argv __wargv __tcserror _strerror __wcserror __tcserror_s _strerror_s __wcserror_s _cgetts _cgets _cgetws _cgetts_s _cgets_s _cgetws_s _cputts _cputs _cputws _fgettc fgetc fgetwc _fgettc_nolock _fgetc_nolock _fgetwc_nolock _fgettchar _fgetchar _fgetwchar _fgetts fgets fgetws _fputtc fputc fputwc _fputtc_nolock _fputc_nolock _fputwc_nolock _fputtchar _fputchar _fputwchar _fputts fputs fputws _ftprintf fprintf fwprintf _ftprintf_l _fprintf_l _fwprintf_l _ftprintf_p _fprintf_p _fwprintf_p _ftprintf_p_l _fprintf_p_l _fwprintf_p_l _ftprintf_s fprintf_s fwprintf_s _ftprintf_s_l _fprintf_s_l _fwprintf_s_l _ftscanf fscanf fwscanf _ftscanf_l _fscanf_l _fwscanf_l _ftscanf_s fscanf_s fwscanf_s _ftscanf_s_l _fscanf_s_l _fwscanf_s_l _get_tpgmptr _get_pgmptr _get_wpgmptr _gettc getc getwc _gettc_nolock _getc_nolock _getwc_nolock _gettch _getch _getwch _gettch_nolock _getch_nolock _getwch_nolock _gettchar getchar getwchar _gettchar_nolock _getchar_nolock _getwchar_nolock _gettche _getche _getwche _gettche_nolock _getche_nolock _getwche_nolock _getts gets _getws _getts_s gets_s _getws_s _i64tot _i64toa _i64tow _i64tot_s _i64toa_s _i64tow_s _istalnum isalnum iswalnum _istalnum_l _isalnum_l _iswalnum_l _istalpha isalpha iswalpha _istalpha_l _isalpha_l _iswalpha_l _istascii __isascii iswascii _istcntrl iscntrl iswcntrl _istcntrl_l _iscntrl_l _iswcntrl_l _istdigit isdigit iswdigit _istdigit_l _isdigit_l _iswdigit_l _istgraph isgraph iswgraph _istgraph_l _isgraph_l _iswgraph_l _istlower islower iswlower _istlower_l _islower_l _iswlower_l _istprint isprint iswprint _istprint_l _isprint_l _iswprint_l _istpunct ispunct iswpunct _istpunct_l _ispunct_l _iswpunct_l _istspace isspace isw
行为分析主要是通过系统监控软件,监控系统中各资源或环境的变化,比如监控注册表、监控文件、监控进程,以及监控网络等。当然了,还可以通过 HIPS 软件来监控病毒的行为。各类系统监控工具或者是 HIPS 软件都是在系统的不同层面上进行了不同方式的 HOOK。比如说在内核层进行 HOOK,在应用层进行 HOOK。HOOK 的方式也是多样化的,比如直接 HOOK API 函数,或者 HOOK SSDT 表中的内核函数。
在笔者上一篇文章《内核枚举进程与线程ObCall回调》简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了ObRegisterCallbacks回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。
全局消息钩子的钩子函数一定要再dll中,然后启动安装钩子不能在dll中,要是我想在程序开始时安装钩子怎么办。很简单利用两个钩子就行了,只要安装钩子和钩子函数不在同一个dll就行了。
在笔者上一篇文章《驱动开发:内核枚举进程与线程ObCall回调》简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了ObRegisterCallbacks回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。
strpbrk(p, p1) 以目标字符串的所有字符作为集合,在当前字符串查找该集合的任一元素
strncmp(p, p1, n) 比较指定长度字符串 strchr(p, c) 在字符串中查找指定字符 strrchr(p, c) 在字符串中反向查找 strstr(p, p1) 查找字符串 strpbrk(p, p1) 以目标字符串的所有字符作为集合,在当前字符串查找该集合的任一元素 strspn(p, p1) 以目标字符串的所有字符作为集合,在当前字符串查找不属于该集合的任一元素的偏移 strcspn(p, p1) 以目标字符串的所有字符作为集合,在当前字符串查找属于该集合的任一元素的偏移
领取专属 10元无门槛券
手把手带您无忧上云