LyShark®

ARP欺骗（ARP Spoofing）是一种网络攻击手段，其目的是通过欺骗目标主机来实现网络攻击。ARP协议是一种用于获取MAC地址的协议，因此欺骗者可以使用ARP欺骗来迫使其目标主机将网络流量发送到攻击者控制的设备上，从而实现网络攻击。ARP欺骗攻击通常可以用于实现中间人攻击、会话劫持、密码盗窃等网络攻击，因此网络管理人员和用户都应当了解如何防范和检测ARP欺骗攻击。常见的防范手段包括静态ARP表、ARP监控工具、虚拟专用网络（VPN）等。

LyDrawLib 是一款使用C语言开发的外部图形绘制模块，该模块基于`DirectX 9`引擎，能够实现在已有进程之上进行动态绘制。主要的特性包括，支持绘制透视方框、实心方框、半角方框、带有血条的方框、各种准星、描边文本的显示等。无论是静态的图形还是动态的效果，都能够被完美绘制。

在前一节中我们简单介绍了D3D绘制窗体所具备的基本要素，本节将继续探索外部绘制技术的实现细节，并以此实现一些简单的图形绘制功能，首先外部绘制的核心原理是通过动态创建一个新的窗口并设置该窗口属性为透明无边框状态，通过消息循环机制实现对父窗口的动态跟随附着功能，当读者需要绘制新的图形时只需要绘制在透明窗体之上即可实现动态显示的效果。

装饰器可以使函数执行前和执行后分别执行其他的附加功能，这种在代码运行期间动态增加功能的方式，称之为`"装饰器"(Decorator)`，装饰器的功能非常强大，装饰器一般接受一个函数对象作为参数，以对其进行增强，相当于C++中的构造函数，与析构函数。装饰器本质上是一个python函数,它可以让其他函数在不需要做任何代码变动的前提下增加额外功能,装饰器的返回值也是一个函数对象.它经常用于有迫切需求的场景,比如：插入日志、性能测试、事务处理、缓存、权限校验等场景.装饰器是解决这类问题的绝佳设计,有了装饰器,我们就可以抽离出大量与函数功能本身无关的雷同代码并继续重用.

创建新的进程是`Windows`程序开发的重要部分，它可以用于实现许多功能，例如进程间通信、并行处理等。其中，常用的三种创建进程的方式分别是`WinExec()`、`ShellExecute()`和`CreateProcessA()`，这三种创建进程的方式各有特点。如果需要创建简单进程或从其他程序启动新进程，可以使用`WinExec()`或`ShellExecute()`函数。如果需要对新进程进行更精细的配置，例如控制进程参数、指定安全级别、传递特定的命令和参数等，可以使用`CreateProcessA()`函数。

首先实现枚举当前系统中所有进程信息，枚举该进程的核心点在于使用`CreateToolhelp32Snapshot()`函数，该函数用于创建系统进程和线程快照，它可以捕获当前系统中进程和线程相关的信息（如PID、线程数量、线程ID等），在对这些信息进行处理后，可以获得很多有用的数据，如当前系统中所有正在执行的进程的信息列表，以及每个进程各自的详细信息（如CPU、内存占用量等）。

GetTokenInformation 用于检索进程或线程的令牌(Token)信息。Token是一个数据结构，其包含有关进程或线程的安全上下文，代表当前用户或服务的安全标识符和权限信息。GetTokenInformation函数也可以用来获取这些安全信息，通常用于在运行时检查某个进程或线程的权限或安全信息。

进程状态的判断包括验证进程是否存在，实现方法是通过枚举系统内的所有进程信息，并将该进程名通过`CharLowerBuff`转换为小写，当转换为小写模式后则就可以通过使用`strcmp`函数对比，如果发现继承存在则返回该进程的PID信息，否则返回-1。

首先为什么要实行分块传输字符串，一般而言`Socket`套接字最长发送的字节数为`8192`字节，如果发送的字节超出了此范围则后续部分会被自动截断，此时将字符串进行分块传输将显得格外重要，分块传输的关键在于封装实现一个字符串切割函数，将特定缓冲区内的字串动态切割成一个个小的子块，当切割结束后会得到该数据块的个数，此时通过套接字将个数发送至服务端此时服务端在依次循环接收数据包直到接收完所有数据包之后在组合并显示即可。

WSASocket无管道反向`CMD`，与无管道正向`CMD`相反，这种方式是在远程主机上创建一个`TCP`套接字，并绑定到一个本地地址和端口上。然后在本地主机上，使用`WSASocket`函数连接到远程主机的套接字，并将标准输入、输出和错误输出重定向到套接字的句柄上。这样，本地主机就可以通过网络连接到远程主机的套接字，发送`CMD`命令并获取命令输出结果。这种方式称为无管道反向`CMD`，因为`CMD`进程的输入输出是通过套接字而非管道进行的。