半枫

基本概念RegCloseKey是Windows注册表API中的资源释放函数，用于关闭之前通过RegOpenKey、RegOpenKeyEx、RegCreateKey、RegCreateKeyEx等函数打开或创建的注册表键句柄（HKEY），释放系统分配的资源。必须在注册表操作完成后调用，否则会导致资源泄漏。 基本语法123LSTATUS RegCloseKey( [in] HKEY hKey //要关闭的打开键的句柄); 返回值错误码ERROR_SUCCESS（0） 句柄关闭成功。ERROR_INVALID_HANDLE 传入的hKey是无效句柄（如已关闭、未初始化、或为预定义根键）。ERROR_ACCESS_DENIED 句柄关联的键正在被其他操作占用（极少数情况，如正在枚举子键时关闭）。

RegQueryValue基本概念RegQueryValue是Windows注册表API中的核心函数，用于读取注册表中指定键（Key）的默认值（未命名值） 数据。它是注册表读取操作的基础接口，需结合Windows注册表的结构（根键、子键、值项）使用。 基本语法123456789101112131415// Unicode 版本LSTATUS RegQueryValueW( [in] HKEY hKey, //打开的注册表项的句柄 [in, optional] LPCWSTR lpSubKey,//子键名称（相对于 hKey 的路径，NULL 表示读取 hKey 的默认值） [out, optional] LPWSTR lpData, //接收值数据的缓冲区 [in, out, optional] PLONG lpcbData // 输入：缓冲区大小（字节）；输出：实际读取的字节数);// ANSI 版本LSTATUS RegQueryValueA( [in] HKEY ...

RegEnumKey基本概念RegEnumKey是Windows注册表API中的核心函数，用于枚举指定注册表项的子项名称（仅获取子项名称，不包含键值数据）。它属于早期注册表API（兼容 Windows 9x/NT），现代更推荐使用功能更强的RegEnumKeyEx（支持获取子项创建时间等额外信息），但RegEnumKey仍可在所有Windows版本中使用。 基本语法1234567891011121314// Unicode 版本LSTATUS RegEnumKeyW( [in] HKEY hKey, //打开的注册表项的句柄 [in] DWORD dwIndex,//要枚举的子项索引（从 0 开始） [out] LPWSTR lpName, // 接收子项名称的缓冲区 [in] DWORD cchName // 缓冲区大小（以字符为单位）);// ANSI 版本LSTATUS RegEnumKeyA( [in] HKEY hKey, [in] DWORD dwIndex, [out] LPSTR lpName, [in] DWORD c...

RegOpenKey基本概述RegOpenKey是Windows注册表API中用于打开已存在注册表项的简化版函数，核心作用是通过 “父键 + 子项路径” 定位已有的注册表项，并获取其HKEY句柄（后续用于读 / 写等操作）。它的特点是参数简单、默认权限，适合无需自定义权限或高级配置的基础场景。注意：RegOpenKey仅能打开 “已存在” 的项，若项不存在会直接失败。 基本语法12345678910111213// Unicode 版本LSTATUS RegOpenKeyW( [in] HKEY hKey, //打开的注册表项的句柄 [in, optional] LPCWSTR lpSubKey,//要打开的注册表项的名称 [out] PHKEY phkResult//指向接收已打开键句柄的变量的指针);// ANSI 版本（兼容旧系统）LSTATUS RegOpenKeyA( [in] HKEY hKey, [in, optional] LPCSTR lpSubKey, [out...

将手机与电脑连接在同一局域网连接同一个Wi-Fi或者电脑连接手机热点，若将手机和电脑连在同一局域网，QQ传输照片不经过深层加密。 wireshark1.打开wireshark，选择WLAN；2.用手机QQ发一张jpg照片到电脑端；注意：发送的照片不能是PC端里存有的！不然你是抓不到QQ照片的包的3.使用过滤器ip.addr=手机的ip；4.寻找http中的jpg文件传输包；5.找到指定包后，右键点击追踪流，选择TCP追踪流；将原始数据存到桌面（好寻找）6.去除多余数据原始数据jpg文件是打不开的，因为QQ照片通过TCP流传输时，照片数据会和TCP协议的控制信息、QQ应用层的额外标识数据等混杂在一起用winhex打开jpg文件，寻找16进制数值FFD8（jpg照片文件头），将前面的16进制数值移除，并保存，jpg文件就能正常解析了，

概念等保2.0是中国依据《网络安全法》建立的一套强制性国家标准，要求所有网络运营者必须对其系统按照特定等级进行安全保护、监管和测评，以构建国家整体的网络安全防御体系。 可以把等保2.0想象成信息安全领域的强制性安全验收标准或安全驾驶执照。 对象：所有建设了信息系统的单位/企业（称为“运营者”、“责任单位”）。 目的：确保这些信息系统能抵御外部攻击和内部风险，保证其稳定运行、数据不被泄露和篡改。 性质：这不再是可做可不做的“建议”，而是有法律依据（《网络安全法》）的强制性要求。 等保2.0的核心思想与关键变化（相比等保1.0） 等保1.0 (2007年起) 等保2.0 (2019年实施) 核心变化与意义 法律依据 部门规章（《信息安全等级保护管理办法》） 国家法律（《网络安全法》第21条） ...

RegCreateKey基本概述RegCreateKey是Windows注册表API中的核心函数，用于在注册表中创建新项或打开已存在的项（若指定项已存在，则直接打开，不会报错）。它是操作注册表（存储系统配置、应用程序设置等）的基础函数之一。 基本语法1234567891011121314// Unicode 版本LSTATUS RegCreateKeyW( [in] HKEY hKey, //打开的注册表项的句柄 [in, optional] LPCWSTR lpSubKey,//打开或创建的键的名称 [out] PHKEY phkResult//指向接收已打开或创建的键句柄的变量的指针);// ANSI 版本LSTATUS RegCreateKeyA( [in] HKEY hKey, [in, optional] LPCSTR lpSubKey, [out] PHKEY phkResult); 数据类型HKEY: HKEY（全称 Handle to Registr...

注册表检测虚拟机软件会在系统注册表中留下特定键值，可通过查询这些注册表项判断是否存在虚拟机。 检测点位VMware: 123456HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware ToolsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmdebugHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmmouseHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmciHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VMnetAdapterHKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier = "VMware Virtual IDE Har...

Process32FirstW基本概念Process32FirstW是Windows系统Tool Help Library（工具帮助库）中用于枚举进程信息的宽字符（Unicode）版本起始函数（Process32First是ANSI版本）。它的核心作用是从通过CreateToolhelp32Snapshot创建的 “进程快照” 中，提取第一个进程的详细信息（如进程 ID、父进程 ID、可执行文件路径等），是遍历系统所有进程的 “起点”，通常与Process32NextW配合使用以完成全部进程的枚举。 基本语法123456789BOOL Process32FirstW( [in] HANDLE hSnapshot, // 进程快照句柄（由CreateToolhelp32Snapshot返回） [in, out] LPPROCESSENTRY32W lppe // 指向PROCESSENTRY32W结构体的指针，用于接收进程信息); BOOL Process32First( [in] HANDLE h...

基本概念CreateToolhelp32Snapshot是Windows系统中Tool Help Library（工具帮助库）提供的核心API函数，用于创建系统 “快照”（Snapshot）—— 即捕获系统中当前进程、线程、模块或堆的瞬时状态，以便后续枚举、查询这些系统对象的详细信息。生成一个包含系统中指定类型对象（进程、线程、模块、堆）的 “快照” 句柄，通过该句柄可进一步枚举这些对象的详细信息。 基本语法1234HANDLE CreateToolhelp32Snapshot( [in] DWORD dwFlags, //快照类型（指定要捕获的对象类型） [in] DWORD th32ProcessID //进程ID（仅对模块/堆快照有效，其他情况设为0）); dwFlags快照类型，通过位或（|）组合指定需要捕获的对象，常用取值：常量 含义 说明 TH32CS_SNAPPROCESS 进程快照 捕获系统中所有进程的信息 TH32CS_SNAPTHREAD...