半枫

RegOpenKey基本概述RegOpenKey是Windows注册表API中用于打开已存在注册表项的简化版函数，核心作用是通过 “父键 + 子项路径” 定位已有的注册表项，并获取其HKEY句柄（后续用于读 / 写等操作）。它的特点是参数简单、默认权限，适合无需自定义权限或高级配置的基础场景。注意：RegOpenKey仅能打开 “已存在” 的项，若项不存在会直接失败。 基本语法12345678910111213// Unicode 版本LSTATUS RegOpenKeyW( [in] HKEY hKey, //打开的注册表项的句柄 [in, optional] LPCWSTR lpSubKey,//要打开的注册表项的名称 [out] PHKEY phkResult//指向接收已打开键句柄的变量的指针);// ANSI 版本（兼容旧系统）LSTATUS RegOpenKeyA( [in] HKEY hKey, [in, optional] LPCSTR lpSubKey, [out...

将手机与电脑连接在同一局域网连接同一个Wi-Fi或者电脑连接手机热点，若将手机和电脑连在同一局域网，QQ传输照片不经过深层加密。 wireshark1.打开wireshark，选择WLAN；2.用手机QQ发一张jpg照片到电脑端；注意：发送的照片不能是PC端里存有的！不然你是抓不到QQ照片的包的3.使用过滤器ip.addr=手机的ip；4.寻找http中的jpg文件传输包；5.找到指定包后，右键点击追踪流，选择TCP追踪流；将原始数据存到桌面（好寻找）6.去除多余数据原始数据jpg文件是打不开的，因为QQ照片通过TCP流传输时，照片数据会和TCP协议的控制信息、QQ应用层的额外标识数据等混杂在一起用winhex打开jpg文件，寻找16进制数值FFD8（jpg照片文件头），将前面的16进制数值移除，并保存，jpg文件就能正常解析了，

概念等保2.0是中国依据《网络安全法》建立的一套强制性国家标准，要求所有网络运营者必须对其系统按照特定等级进行安全保护、监管和测评，以构建国家整体的网络安全防御体系。 可以把等保2.0想象成信息安全领域的强制性安全验收标准或安全驾驶执照。 对象：所有建设了信息系统的单位/企业（称为“运营者”、“责任单位”）。 目的：确保这些信息系统能抵御外部攻击和内部风险，保证其稳定运行、数据不被泄露和篡改。 性质：这不再是可做可不做的“建议”，而是有法律依据（《网络安全法》）的强制性要求。 等保2.0的核心思想与关键变化（相比等保1.0） 等保1.0 (2007年起) 等保2.0 (2019年实施) 核心变化与意义 法律依据 部门规章（《信息安全等级保护管理办法》） 国家法律（《网络安全法》第21条） ...

RegCreateKey基本概述RegCreateKey是Windows注册表API中的核心函数，用于在注册表中创建新项或打开已存在的项（若指定项已存在，则直接打开，不会报错）。它是操作注册表（存储系统配置、应用程序设置等）的基础函数之一。 基本语法1234567891011121314// Unicode 版本LSTATUS RegCreateKeyW( [in] HKEY hKey, //打开的注册表项的句柄 [in, optional] LPCWSTR lpSubKey,//打开或创建的键的名称 [out] PHKEY phkResult//指向接收已打开或创建的键句柄的变量的指针);// ANSI 版本LSTATUS RegCreateKeyA( [in] HKEY hKey, [in, optional] LPCSTR lpSubKey, [out] PHKEY phkResult); 数据类型HKEY: HKEY（全称 Handle to Registr...

注册表检测虚拟机软件会在系统注册表中留下特定键值，可通过查询这些注册表项判断是否存在虚拟机。 检测点位VMware: 123456HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware ToolsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmdebugHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmmouseHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmciHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VMnetAdapterHKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier = "VMware Virtual IDE Har...

Process32FirstW基本概念Process32FirstW是Windows系统Tool Help Library（工具帮助库）中用于枚举进程信息的宽字符（Unicode）版本起始函数（Process32First是ANSI版本）。它的核心作用是从通过CreateToolhelp32Snapshot创建的 “进程快照” 中，提取第一个进程的详细信息（如进程 ID、父进程 ID、可执行文件路径等），是遍历系统所有进程的 “起点”，通常与Process32NextW配合使用以完成全部进程的枚举。 基本语法123456789BOOL Process32FirstW( [in] HANDLE hSnapshot, // 进程快照句柄（由CreateToolhelp32Snapshot返回） [in, out] LPPROCESSENTRY32W lppe // 指向PROCESSENTRY32W结构体的指针，用于接收进程信息); BOOL Process32First( [in] HANDLE h...

基本概念CreateToolhelp32Snapshot是Windows系统中Tool Help Library（工具帮助库）提供的核心API函数，用于创建系统 “快照”（Snapshot）—— 即捕获系统中当前进程、线程、模块或堆的瞬时状态，以便后续枚举、查询这些系统对象的详细信息。生成一个包含系统中指定类型对象（进程、线程、模块、堆）的 “快照” 句柄，通过该句柄可进一步枚举这些对象的详细信息。 基本语法1234HANDLE CreateToolhelp32Snapshot( [in] DWORD dwFlags, //快照类型（指定要捕获的对象类型） [in] DWORD th32ProcessID //进程ID（仅对模块/堆快照有效，其他情况设为0）); dwFlags快照类型，通过位或（|）组合指定需要捕获的对象，常用取值：常量 含义 说明 TH32CS_SNAPPROCESS 进程快照 捕获系统中所有进程的信息 TH32CS_SNAPTHREAD...

基本概念GlobalMemoryStatusEx是Windows系统中用于检索有关系统当前物理内存和虚拟内存使用情况信息的API函数，属于系统资源监控类API。它比早期的GlobalMemoryStatus功能更强大，支持检测超过4GB的内存（适用于64位系统和大内存场景），是现代Windows应用中获取内存信息的首选接口。 基本语法123BOOL GlobalMemoryStatusEx( [in, out] LPMEMORYSTATUSEX lpBuffer // 指向MEMORYSTATUSEX结构体的指针，用于接收内存信息); LPMEMORYSTATUSEX 1234567891011121314typedef struct _MEMORYSTATUSEX { DWORD dwLength; // 结构体大小（必须手动初始化） DWORD dwMemoryLoad; // 内存使用率（百分比） DWORDLONG ullTotalPhys; // 物理内存总量...

基本概念GetSystemInfo是Windows API函数，用于获取当前运行环境的核心系统信息，包括处理器架构、CPU核心数、内存分页大小、系统地址空间范围等关键硬件与操作系统配置数据。它是开发Windows系统工具、硬件检测软件或需要适配不同系统环境的应用程序时的常用接口。 基本语法123void GetSystemInfo( [out] LPSYSTEM_INFO lpSystemInfo //指向接受信息结构体的指针 ); LPSYSTEM_INFO 123456789101112131415161718192021222324252627typedef struct _SYSTEM_INFO { // 联合体（Union）：兼容历史版本与现代架构标识 union { DWORD dwOemId; // 历史字段：早期用于标识OEM厂商（已过时） struct { WORD wProcessorArchitecture; // 现代字段：处理器架构（核心标识） WORD wReserved; ...

GetLogicalDrives基本概念GetLogicalDrives是Windows系统提供的一个文件管理相关API函数，用于获取当前系统中所有可用磁盘驱动器的信息。它通过返回一个位掩码（bitmask）来标识系统中存在的可用磁盘驱动器。 基本语法1DWORD GetLogicalDrives(); 返回值：成功：返回一个 DWORD 类型的位掩码，每个置为1的位代表对应的逻辑驱动器存在。失败：返回0，可通过GetLastError()获取具体错误信息。 位掩码含义返回的位掩码中，每个二进制位对应一个逻辑驱动器，按字母顺序（A-Z）排列：第0位（二进制最低位，值为0x00000001）对应A: 驱动器第1位（值为0x00000002）对应B: 驱动器第2位（值为0x00000004）对应C: 驱动器…第n位对应第(A + n)个字母的驱动器。 简单示例1234567891011121314151617181920212223242526#include <windows.h>#include <stdio.h>int main() { ...