欢迎光临 Enjoy IT (ITECN.NET) 登录 | 注册 | 帮助

使用标签浏览

所有标签 » Technology Inside   (RSS)
2008年9月15日 20:29

捉鬼记:深入 Norton UAC Tool 实现原理

张康宗(Smallfrogs) http://www.KZTechs.com 刚刚看到 Asuka 的一篇文章《 Norton UAC Tool原理剖析 》,文章中已经很好的解释了Norton UAC是如何做到 Don't ask me again的,从开发的角度上看,这个要实现不是很难,但是我感兴趣的地方是: Norton 是如何把 Microsoft 的 Consent.EXE 给截获的 ,如果能够截获 Consent.EXE,就很容易实现 Norton 的功能了。 下面就让我带领大家深入这个工具的实现细节吧:
发表于 作者 smallfrogs | 7 评论
2008年9月8日 1:46

Windows Vista 性能分析:如何使用 xperf 获取精确的启动性能数据

张康宗(Smallfrogs) http://www.KZTechs.com 最近一段时间,我笔记本上Windows Vista的启动速度越来越慢了,启动时候的滚动条需要滚数十圈才能完成,而到 Explorer 显示完桌面,系统启动全部完成,需要4分多钟,已经慢的不可忍受了。本想重装系统,但是重装的代价也太大了,我需要重新配置太多东西,于是乎我就想如果找到启动性能的关键瓶颈,对这个瓶颈进行优化以后应该能够解决一些问题。 要解决问题,就需要准确的收集相关的性能信息,我们知道,在Windows XP时代,可以使用
发表于 作者 smallfrogs | 9 评论
2008年8月28日 11:58

IE8 新特性分析:IE8的稳定性源自何处

MS宣称IE8增强了很多稳定性方面的改进,今天我抽了点时间,对这个问题进行了一个分析。   从Windows 2000开始,Windows提供了一种新的机制对多个进程进行统一的管理。这种机制被命名为Job(作业)。作业的一个最大特点是能够对一个进程组进行统一的管理。 对比之前IE版本的多标签页实现,之前版本的每个Tab页是基于线程的方式进行的,这种方式最大的问题是一旦某一个线程发生问题,整个IE进程都会出现问题。而且这种问题是很难彻底解决的。在IE8里面,MS终于把Job(作业)的思想进行了一次比较大规模的运用,每一个(或几个)Tab页会对应一个进程,然后有一个总的进程进行管理(如下图)
发表于 作者 smallfrogs | 12 评论
2008年6月16日 2:25

AppInit_Dlls,一个特殊的注册表键值

Smallfrogs http://www.KZTechs.com 如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。 AppInit_Dlls键值位于注册表 HKLM \Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用
发表于 作者 smallfrogs | 4 评论
2008年3月5日 23:55

Microsoft Windows Vista UAC 之数字签名认证

Smallfrogs[张康宗] http://www.KZTechs.com 2007年12月份的时候,我曾经撰写过一篇文章《 Windows Vista UAC 和 可信任安全 》( http://blogs.itecn.net/blogs/smallfrogs/archive/2007/12/31/windows-vista-uac.aspx )。文章中对4种UAC提示框分别作了一个说明,今天,我们继续这个话题,说说UAC提示框里面的数字签名认证部分的内容。 Windows Vista里面数字签名认证对于用户层和内核层是不同的,这一点我提前说明一下。
发表于 作者 smallfrogs | 3 评论
2008年3月4日 2:00

Windows Vista SP1 清理工具 vsp1cln.EXE 揭秘

本文含有危险动作,仅供学习使用。本文所列数据或方案未经严格测试,仅供参考。 Microsoft在Windows Vista SP1 WAIK里面附带了一个新的工具:vsp1cln.EXE。这个工具是用于:在Vista RTM环境里面安装SP1之后,将Vista RTM文件清理用的。主要是给那些不再卸载Vista SP1的用户。 这个工具有594KB,体积不小,但是我更关心的是他的实现原理,经过简单的分析以后发现,vsp1cln.EXE的实现原理很简单,vsp1cln.EXE内置了所有的Vista
发表于 作者 smallfrogs | 2 评论
2007年12月31日 17:28

Windows Vista UAC 和 可信任安全

Smallfrogs[张康宗] http://www.KZTechs.COM Level 200 UAC,Windows Vista 里面重要构成部分。对 Windows 安全保护起着绝对重要用途。 但是,UAC 不等于绝对安全,当你碰到UAC提示框的时候,请千万小心后面的陷阱: 众所周知,UAC提示框触发的时候,Windows 会检测新创建进程映象文件的数字签名: 如果新创建的进程的数字签名被阻止了,那么会显示一个红色的提示框: 如果新创建的进程没有合法的数字签名,那么会显示一个橘黄色的提示框。
发表于 作者 smallfrogs | 5 评论
2007年12月7日 8:02

如何将自身进程运行为admin模式

张康宗 http://www.KZTechs.COM Level:300 在Windows Vista里面,进程是分权限级别的。Windows会根据manifest内容、Windows Installer detection、兼容性数据库等方法判断一个进程是否需要一开始就运行在完整admin模式下。 但是不是所有的程序一开始就需要运行在完整admin模式下的,例如任务管理器TaskMgr.EXE。在Windows Vista里面,启动任务管理器以后,默认只能显示当前账户相关的进程信息,只有当点击下面这个按钮并回应UAC提示以后才能显示所有用户的进程信息:
发表于 作者 smallfrogs | 2 评论
2007年8月16日 0:57

Windows Vista 里面延迟删除技术的变更

我曾经在“故事系列”技术文章之一的——《延迟删除的故事》里面描述了Windows 2000/XP/Server 2003里面使用到的延迟删除数据记录方式。 在 Windows 2000/XP/Server 2003 里面,包括Microsoft在内的各个软件厂商在碰到文件被占用无法马上替换问题的时候,都会使用MoveFileEx API函数让系统在注册表 Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
发表于 作者 smallfrogs | 1 评论
2007年7月18日 3:06

Windows Vista 下 UIPI和Windows消息的故事

这篇“故事”文章原本应该在4个月前就发表了,但是由于时间关系一直未能完成,今天终于写完了。由于时间仓促,文中可能含有错误,请各位指出以便修正,谢谢。 全文PDF版本可以在 http://www.KZTechs.com 下载到 演示用的Demo程序可以在 http://www.KZTechs.com/uipistory/uipistorydemo.zip 下载到。 由于排版问题,我这里仅节选一些内容,全文请看PDF版本文件。 一、 什么是 UIPI UIPI指User Interface Privilege
发表于 作者 smallfrogs | 4 评论
2007年6月28日 22:41

应用程序实现方法的猜测

今天将向大家介绍一个比较有意思的内容,应用程序实现方法的猜测。 序 日常生活和工作中,我们总会接触到各种应用程序,这些应用程序往往给我们带来的很大的便利。也许有的人对于如何实现这个应用程序的方法非常好奇,但是要分析具体的实现方法,大家可能会受到一些夸大言论的误导,导致认为要分析出结果有相当大的困难。 实际上,详细的分析的确是非常困难的,需要和逆向工程紧密联系。但是大多数情况下我们对一个应用程序的实现方法的关注可能更多在于这个应用程序是如何对操作系统进行调用的,理解了一些关键的调用以后,就能够对这个应用程序的实现方法有比较好的认识了。
发表于 作者 smallfrogs | 2 评论
2007年4月19日 0:27

System Repair Engineer (SREng) 和 Win32 API HOOK(3)

我们继续。 在本系列文章 第一部分 里面,我简单的介绍了一下SREng的发展历程以及加入Win32 API HOOK检测机制的一个大概原因。 在本系列文章 第二部分 里面,我讲述了Win32 API函数的基本定义、Win32 API的用处以及Win32 API HOOK的基本原理以及Win32 API HOOK的用处。 在今天的第三部分里面,我会讨论Win32 API HOOK作用域的问题以及SREng对于Win32 API HOOK检测域。 API HOOK根据实现不同以及需求不同,会要求设定不同的作用域。使得HOOK对象只在程序开发者要求的作用域内完成。一般来说,HOOK的作用域可以分为两类:全局的或者是线程相关的。
发表于 作者 smallfrogs | 0 评论
2007年4月17日 21:19

System Repair Engineer (SREng) 和 Win32 API HOOK(2)

我们继续昨天的话题:System Repair Engineer(SREng) 和 Win32 API HOOK。 昨天 说到Win32 API HOOK作为一种技术,被正常软件和病毒都使用到了。 要理解Win32 API HOOK,就需要从操作系统谈起了。 操作系统:为了实现扩展性,大多会提供各种接口用于应用程序开发使用(现在很多软件也提供了开发接口,SREng也有哦~)。作为Windows操作系统也不例外。Windows操作系统大致上可以划分为用户模式和核心模式两类。用户模式又可以划分为几个子系统:Win32子系统,POSIX、OS/2子系统等。
发表于 作者 smallfrogs | 7 评论
2007年4月17日 3:21

System Repair Engineer (SREng) 和 Win32 API HOOK(1)

System Repair Engineer (SREng) 介绍: “System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。” 上面这段话是System Repair Engineer (SREng) 的正式介绍,比较书面化,既然是BLOG,我认为可以这样解释System
发表于 作者 smallfrogs | 4 评论
2006年10月22日 21:28

冗余 Windows Installer 文件的清理

对于使用 Windows Installer 技术制作的安装程序,我一向不是那么的喜好,即使 Windows Installer 技术有着非常优秀的功能、稳定的性能以及其他值得骄傲的特性。 究其原因,是因为使用 Windows Installer 技术制作的安装程序会在 %systemroot%\Installer 目录里面添加一个备份的安装文件用于今后的配置、补丁安装等操作。不可否认的是,在系统里面存放一个安装程序的备份,是一件非常理想的事情,尤其是对于那些经常丢失安装程序的用户来说。对于这一点,我倒是非常的赞赏。但是,有一个功能我的确难以理解:
发表于 作者 smallfrogs | 12 评论
更多内容 下一页 »