这篇文章，是我在之前在自学脱壳的时候，在笔记本是所做的脱壳总结；里面包括了各种壳的脱壳方法，最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。毕竟是一篇笔记，所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下，一个一个字的把它从笔记本是移到电脑上也不容易。

首先，先对下文中将要讲到的几个地方做一下说明，避免一些刚接触脱壳的朋友因为不清楚它们的意思，而把时间花费在baidu和google上。

 常见脱壳知识：
1.PUSHAD （压栈） 代表程序的入口点
2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），
只要我们找到程序真正的OEP，就可以立刻脱壳。

  脱壳的几种方法：
方法一：单步跟踪
方法二：ESP定律脱壳
方法三：内存跟踪
方法四：跟踪出口法
方法五：最后一次异常法
方法六：懒人脱壳法
Read the rest of this entry »

[file]attachment/1172593854_0.rar[/file]
参考求贤论坛 www.510cx.com

微软发布官方提升关机速度程序，不知道性能怎么样。

关于该程序的介绍：
解决配置文件卸载问题
当您从运行 Microsoft Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机注销时，可能会遇到以下症状：• 用户配置文件无法卸载。
• 漫游配置文件无法协调。
• 达到注册表大小限制 (RSL)。
• 花费了很长时间进行注销，但收到如下信息：
正在保存设置…。
此外，还可能在应用程序事件日志中收到以下事件信息，具体情况视操作系统而定。 Read the rest of this entry »

WINDOWS XP服务和进程优化详解
1.Alerter
　Alerter（警示器）服务的进程名是Services.exe（即启动这个服务后在后台运行的进程的名称，可以通过任务管理器看到）。Alerter服务的功能是，WinXP将系统上发生的与管理有关的事件以警示（Alert）信息传送至网络上指定的电脑或用户，例如当发生打印错误或硬盘即将写满等事件，这类警示信息由XP的警示器服务（Alerter Service）收集、送出。
　尽管Alerter依存的服务并没有Messenger（信使）服务，但Alerter服务必须依赖后者才能送出信息，故在启动Alerter服务后还必须确定Messenger服务也是在工作中，而接收的电脑也必须启动Messenger服务。由于Alerter服务运行后，服务使用户可以发送弹出（Pop-up）信息给其他用户，这些信息有可能被攻击者用来实施攻击，如诱骗用户修改口令等，从而造成安全隐患。同时该服务使得用户帐号名泄漏，也有可能被攻击者利用来进行口令猜测攻击。所以对于家庭单机用户，甚至对于绝大多数小型的局域网来说，这个功能是完全可禁用的，不仅节省了系统资源和加快启动速度，也提高了机器的安全性。
2.Application Layer Gateway Service
　简称”ALG”（应用层网关），其进程名是alg.exe，WinXP Home/PRO默认安装的启动类型为手动。ALG又被称为代理服务器（Proxy Server），是网络防火墙从功能面上分类的一种。当内部计算机与外部主机连结时，将由代理服务器（Proxy Server）担任内部计算机与外部主机的连结中继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接，如果代理服务器上未安装针对该应用程序设计的代理程序时，任何属于这个网络服务的封包将完全无法通过防火墙。通俗点说，具体到ALG本身，它就是WinXP附带的Internet连接共享/防火墙的具体控管程序，如果你需要启用这二者，这个服务是必备的。当然，只有一台计算机的上网家庭可以考虑禁用这个服务，不过笔者个人觉得WinXP内置的防火墙效果还是不错的，如果不是坚持要使用第三方的防火墙，还是建议开着它吧。 Read the rest of this entry »

http://mugtravel.ohpy.com/#

active loudspeaker 有源音箱
录音室或扩声音箱，内置一个或多个功放器。

——————————————————————————–
ADAT ADAT
(ALESIS® Digital Audio Tape recorder)。ALESIS® 公司的数码 8 声道磁带录音格式。这一格式有16 比特的解析度， 采样率是 48 千赫兹。

——————————————————————————–

AES/EBU AES/EBU专业数码界面， 通过卡侬接插口连接不同的音频数码设备。

——————————————————————————–

attack 启动
是动态处理器的一个参数，在超过阈值时， 这一参数决定信号处理的启动时间。

——————————————————————————– Read the rest of this entry »

我还以为他会用CreateProcess 不过在Ocx中不知道能否用这个创建子进程
主要是利用Ocx启动程序并且控制程序
工作需要我也需要用OCX控制EXE程序 如有朋友有这方面的经验告知一二多谢
[code]
100137D0      /$  6A FF              push    -1
100137D2      |.  68 F61F0410        push    10041FF6                               ;  SE 处理程序安装
100137D7      |.  64:A1 00000000     mov     eax, dword ptr fs:[0]
100137DD      |.  50                 push    eax
100137DE      |.  64:8925 00000000   mov     dword ptr fs:[0], esp
100137E5      |.  81EC D0000000      sub     esp, 0D0
100137EB      |.  53                 push    ebx
100137EC      |.  55                 push    ebp
100137ED      |.  8BE9               mov     ebp, ecx
100137EF      |.  56                 push    esi
100137F0      |.  68 8C350510        push    1005358C                               ;  ccupcam%d%c
100137F5      |.  8D4C24 14          lea     ecx, dword ptr [esp+14]
100137F9      |.  33DB               xor     ebx, ebx
100137FB      |.  E8 87DD0100        call    10031587
10013800      |.  68 7C350510        push    1005357C                               ; /mutex_ccup_tcp
10013805      |.  6A 01              push    1                                      ; |InitialOwner = TRUE
10013807      |.  53                 push    ebx                                    ; |pSecurity
10013808      |.  899C24 F0000000    mov     dword ptr [esp+F0], ebx                ; |
1001380F      |.  FF15 C8410410      call    dword ptr [<&KERNEL32.CreateMutexA>]   ; \CreateMutexA
10013815      |.  8BF0               mov     esi, eax
10013817      |.  FF15 C4410410      call    dword ptr [<&KERNEL32.GetLastError>]   ; [GetLastError
1001381D      |.  3D B7000000        cmp     eax, 0B7
10013822      |.  75 0E              jnz     short 10013832
10013824      |.  8B4424 10          mov     eax, dword ptr [esp+10]
10013828      |.  50                 push    eax                                    ; /Title
10013829      |.  53                 push    ebx                                    ; |Class
1001382A      |.  FF15 E0440410      call    dword ptr [<&USER32.FindWindowA>]      ; \FindWindowA
10013830      |.  8BD8               mov     ebx, eax
10013832      |>  56                 push    esi                                    ; /hObject
10013833      |.  FF15 98410410      call    dword ptr [<&KERNEL32.CloseHandle>]    ; \CloseHandle
10013839      |.  85DB               test    ebx, ebx
1001383B      |.  0F85 9F000000      jnz     100138E0
10013841      |.  8B0D E4370510      mov     ecx, dword ptr [100537E4]              ;  Ccuplst.100537F8
10013847      |.  57                 push    edi
10013848      |.  894C24 10          mov     dword ptr [esp+10], ecx
1001384C      |.  8D5424 18          lea     edx, dword ptr [esp+18]
10013850      |.  68 C8000000        push    0C8                                    ; /BufSize = C8 (200.)
10013855      |.  52                 push    edx                                    ; |Buffer
10013856      |.  C68424 F0000000 01 mov     byte ptr [esp+F0], 1                   ; |
1001385E      |.  FF15 BC410410      call    dword ptr [<&KERNEL32.GetSystemDirecto>; \GetSystemDirectoryA
10013864      |.  BF 58350510        mov     edi, 10053558                          ;  program files\ccupcam\ccupcam.exe
10013869      |.  83C9 FF            or      ecx, FFFFFFFF
1001386C      |.  33C0               xor     eax, eax
1001386E      |.  8D5424 1B          lea     edx, dword ptr [esp+1B]
10013872      |.  F2:AE              repne   scas byte ptr es:[edi]
10013874      |.  F7D1               not     ecx
10013876      |.  2BF9               sub     edi, ecx
10013878      |.  885C24 1B          mov     byte ptr [esp+1B], bl
1001387C      |.  8BC1               mov     eax, ecx
1001387E      |.  8BF7               mov     esi, edi
10013880      |.  8BFA               mov     edi, edx
10013882      |.  6A 01              push    1
10013884      |.  C1E9 02            shr     ecx, 2
10013887      |.  F3:A5              rep     movs dword ptr es:[edi], dword ptr [es>
10013889      |.  8BC8               mov     ecx, eax
1001388B      |.  8B85 D4050000      mov     eax, dword ptr [ebp+5D4]
10013891      |.  83E1 03            and     ecx, 3
10013894      |.  50                 push    eax
10013895      |.  F3:A4              rep     movs byte ptr es:[edi], byte ptr [esi]
10013897      |.  8B8D D0050000      mov     ecx, dword ptr [ebp+5D0]
1001389D      |.  6A 01              push    1
1001389F      |.  51                 push    ecx
100138A0      |.  8D4C24 28          lea     ecx, dword ptr [esp+28]
100138A4      |.  51                 push    ecx
100138A5      |.  8D5424 24          lea     edx, dword ptr [esp+24]
100138A9      |.  68 48350510        push    10053548                               ;  "%s" %s%c%s%c
100138AE      |.  52                 push    edx
100138AF      |.  E8 7FC70100        call    10030033
100138B4      |.  8B85 B8010000      mov     eax, dword ptr [ebp+1B8]
100138BA      |.  83C4 1C            add     esp, 1C
100138BD      |.  85C0               test    eax, eax
100138BF      |.  5F                 pop     edi
100138C0      |.  74 0D              je      short 100138CF
100138C2      |.  8B4424 0C          mov     eax, dword ptr [esp+C]
100138C6      |.  6A 01              push    1                                      ; /ShowState = SW_SHOWNORMAL
100138C8      |.  50                 push    eax                                    ; |CmdLine
100138C9      |.  FF15 C0410410      call    dword ptr [<&KERNEL32.WinExec>]        ; \WinExec
100138CF      |>  8D4C24 0C          lea     ecx, dword ptr [esp+C]
100138D3      |.  C68424 E4000000 00 mov     byte ptr [esp+E4], 0
100138DB      |.  E8 39DC0100        call    10031519
100138E0      |>  8D4C24 10          lea     ecx, dword ptr [esp+10]
100138E4      |.  C78424 E4000000 FF>mov     dword ptr [esp+E4], -1
100138EF      |.  E8 25DC0100        call    10031519
100138F4      |.  8B8C24 DC000000    mov     ecx, dword ptr [esp+DC]
100138FB      |.  5E                 pop     esi
100138FC      |.  8BC3               mov     eax, ebx
100138FE      |.  5D                 pop     ebp
100138FF      |.  5B                 pop     ebx
10013900      |.  64:890D 00000000   mov     dword ptr fs:[0], ecx
10013907      |.  81C4 DC000000      add     esp, 0DC
1001390D      \.  C3                 retn

[/code]

[color=#000000]DLL Injection Howto[/color]

[color=#000000]1. [/b][/color]
Read the rest of this entry »

QQT2.0多开补丁
修改CreateMutexA
[file]attachment/1170949945_0.rar[/file]

惨惨惨 无聊瞎搞搞
[img]attachment/1170388949_0.jpg[/img]
[flv=400,300]http://caisong.com/attachment/1170389648_0.flv[/flv]
[img]attachment/1170388949_1.jpg[/img]
[img]attachment/1170388949_2.jpg[/img]
[img]attachment/1170388949_3.jpg[/img]
[img]attachment/1170388949_4.jpg[/img]