- 博客(10)
- 收藏
- 关注
RSS订阅转载 深入剖析PE文件
转载自不赖猴的笔记。 深入剖析PE文件PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。)一个PE文件至少需要两个Section,一个是...
2018-03-12 18:31:11
574
原创 PE文件详解(一)
结构IMAGE_DOS_HEADER(MS-DOS头)IMAGE_NT_HEADER(PE文件头)Signature:PEIMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER32IMAGE_SECTION_HEADER(区段表)SECTIONS(区段) 各部分常用关键字段MAGE_DOS_HEADER(DOS头)0x3C e_lfanew PE 文件头偏移IMAGE...
2018-03-06 19:52:32
614
1
原创 od下断方法总结
1.Ctrl+G:直接断API输入API名称,f2下断即可。2.Ctrl+N:输入表断API3.命令行 bp 函数名 下断4.插件利用apiBreakapi断点设置工具
2018-03-06 11:15:56
5775
原创 脱壳进阶篇
1.壳程序常用API下断根据壳的原理,在壳需要的一些API处下断点(例如VirtualAlloc,VirtualFree等),然后单步若干次即可找到程序入口点。关于od下断点的方法请参考od下断方法总结。点击打开链接2.最后一次异常法od->选项->调试选项->异常,把所有的√去掉f9运行n次后程序飞,然后重新载入,f9运行n-1次,然后在右下角堆栈窗口找到注释为SE句柄处,记下...
2018-03-06 10:57:00
393
原创 脱壳基础篇
1.ESP定律od打开程序,单步,当观察到右边寄存器窗口中仅有ESP变红时(一般是push或者pushad指令执行时),鼠标放在ESP后面的地址上,右键,点击HW break[ESP].然后f9运行,中断后单步,当有一处较大跳转时,则对应入口点。原理:脱壳过程中要保持堆栈平衡。2.两次内存镜像法od打开程序后,alt-m打开内存窗口,在资源段(.rsrc)右键,设置内存访问断点,f9运行,中断后,...
2018-03-05 16:54:40
513
原创 寒江独钓键盘过滤卸载蓝屏
1.status = ObReferenceObjectByName(&uniNtNameString,OBJ_CASE_INSENSITIVE,NULL,0,*IoDriverObjectType,KernelMode,NULL,&KbdDriverObject);// 如果失败了就直接返回if (!NT_S
2017-07-18 12:06:47
702
原创 通过控制台程序使用cocreateguid获取guid
// ConsoleApplication5.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h" #include "objbase.h" #include #include#include#includeusing namespace std;std::string GuidToString(const G
2017-07-18 12:02:00
1135
原创 在VS中添加lib库的三种方法
方法1: 通过设置工程配置来添加lib库.A、添加工程的头文件目录:工程---属性---配置属性---c/c++---常规---附加包含目录:加上头文件存放目录。B、添加文件引用的lib静态库路径:工程---属性---配置属性---链接器---常规---附加库目录:加上lib文件存放目录。C 然后添加工程引用的lib文件名:工程---属性---配置属性---链接器---输入
2017-07-18 11:58:49
17424
5
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人