aurain
技术文摘
posts - 137,  comments - 268,  trackbacks - 0
07 2010 档案
大数据量,海量数据处理方法总结(转)      摘要: 大数据量,海量数据 处理方法总结  阅读全文
posted @ 2010-07-21 08:57 水 阅读(1739) | 评论 (0)  编辑
通过向设备对象\Device\Tcp发送IOCTL Code枚举通信端口      摘要: 在应用层,枚举进程及其通信端口一般可以用iphlpapi.dll中提供的函数来获取。如获取Tcp连接,则调用GetTcpTable或者AllocateAndGetTcpTableFromStack来查询。这些API都是通过调用NtDeviceIoControlFile这个NativeAPI来进入内核查询信息的,如果在内核用SSDT Hook来挂钩此函数,从而隐藏特定的IP、端口信息的话,那么在应用层,常规的查询方法就查不到隐藏的端口了。
本文通过直接向设备对象\Device\Tcp发送IOCTL Code=IOCTL_TCP_QUERY_INFORMATION_EX的命令,直接获取进程,端口信息。本文也同时实现了UDP端口的查询。
具体请参考下面的代码,使用WinDDK 6001.18001编译。
  阅读全文
posted @ 2010-07-09 18:28 水 阅读(5899) | 评论 (3)  编辑
glib库中的哈希函数和比较函数      摘要: 最近在项目中需要用到哈希表,要以ip地址构造哈希函数和比较函数。就去网上找了下相关的资料,看了下glib中哈希表中的实现方式,虽然最终没用这个,但既然找了就顺便记录下来,方便查阅。
哈希表是一种提供key-value访问的数据结构,通过指定的key值可以快速的访问到与它相关联的value值。hash表的一种典型用法就是字典,通过单词的首字母能够快速的找到单词。关于哈希表的详细介绍请查阅数据结构的相关书籍,我这里只介绍glib库中哈希表的哈希函数和比较函数。
  阅读全文
posted @ 2010-07-06 17:43 水 阅读(3827) | 评论 (1)  编辑
用ZwQueryVirtualMemory枚举进程模块      摘要: 枚举进程模块通常可以使用诸如:CreateToolhelp32Snapshot,Module32First,Module32Next 等"Tool Help Functions"接口来实现, 并且这也是最通用的方法(从Win95就开始支持了), 但是今天我们要介绍的是ntdll.dll导出的未文档化接口ZwQueryVirtualMemory,。相比前面所介绍的方法,该方法可以检测出隐藏的模块(类似IceSword)。  阅读全文
posted @ 2010-07-05 16:32 水 阅读(9541) | 评论 (3)  编辑


<2010年7月>
27282930123
45678910
11121314151617
18192021222324
25262728293031
1234567

常用链接

留言簿(17)

随笔分类(138)

随笔档案(137)

网络开发

最新随笔

搜索

  •  

积分与排名

  • 积分 - 495380
  • 排名 - 36

最新随笔

最新评论

阅读排行榜

评论排行榜