自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

X1h Is A Green Hand

A Green Hand

  • 博客(9)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 GreenHandX1h 2016.3.31

学无止境,气有浩然但是我真的很不爱学习好烦人啊尽管我很不爱学习但是我今天必须要搞明白一个事情 那就是电脑pE文件到底是由什么构成的啊!! 搞不清楚这个我根本没法读程序 !!!!接下来的时间里我会把我理解了的还有我不理解的统统记录在这个博客当中这就当是一个引序吧wtf。顺便如果有别人看到了这些东西,能不能告诉我这样学习写代码是不是真的有用= =那么首先winpe他是由哪几部分组成的呢?他肯定有个

2016-03-31 21:54:12 394 1

原创 GreenHandX1H angrdoc 阅读笔记①

angrdoc 阅读笔记①记得当初刚接触csdn blog的时候还不支持功能如此强大的Markdown,只是一些基础的操作,现在搂了一眼发现已经加上了好多不错的功能,比如说目录、代码段。下面这个系列将会记录一下有关于angr这一平台的阅读笔记。将会以问题的形式记录。0x001 什么是angrangr是当下一款功能比较强大的开源的支持多平台的(like windows,liux,etc.)基于二进制上

2017-01-04 00:39:06 2376

原创 GreenHandX1h 4.5 代码阅读①

经过一番挣扎之后我决定开始重新把代码读一遍写一个完美一点的注释BOOL IsPeFile(LPVOID ImageBase)//这里我们收取一个PE文件 //判断是否是PE文件结构//首先检验文件头部的第一个字是否是PRIMAGE_DOS_SIGNATURE//然后定位PE头,如果PE头符合IMAGE_NT_SIGNATURE则可以判断是有效的PE文件//经过检验没有任何问题{

2016-04-06 19:45:31 298

原创 GreenHandX1h 2016.4.5 (第一章告一段落)

我们不得不对前几天的学习告一段落了至于问起来为什么我想大概应该是往后的学习对于我目前的WinPE病毒的学习毫无用处了。 我从网上档下来的代码中主要的难点在于如何判断这个文件是否是个pe文件,如何定位,如何把我们想插得代码插进去等。 往后的输入输出啊等等等等的表啊什么的学习在我搞定了这个毕设之后在重新马文吧。每天的不停不停不停的努力才能把我想学的学会,相信我这个脑子一定没问题!虽然写的东西很low

2016-04-05 20:33:37 173

原创 GreenHandX1h 2016.4.5 (3) (✵节表✵)

我们最最最最最厉害并且最重要的部分来了,那么就是节表跟节了我们的PE程序主要就是由一个一个节组成的,那我们就用节表来定义了各个Section的属性跟偏移位置。那么我们所需要的节表就来了。Section表紧跟在NT头的PE可选头后面。 我们来分析一下他的各个变量 1. Name1:块名,一般以.开始命名,应该仅此而已了 2. Misc.VirtualSize (到现在我都没弄明白啥是misc

2016-04-05 20:16:15 226

原创 GreenHandX1h 2016.4.5 (2)(✵ 导出表等数据表✵)(可改)

导出表的学习这个东西呢,整体而言我还没有接触过所以不知道是干嘛的,但是我把我对于这个东西的大体理解稍微写一下,等到用到的时候我回头来看看可以再进行修饰修改。首先什么叫做导出表,比如说我们在PE程序中用到一个函数,这个函数需要被我们动态引用,那么我们就需要把他们导出,导出之后呢我们为了方便去查找他们,所以我们就用了导出表这么个东西来方便我们去把这些导出的函数放在一个被记录的位置,导出表记录了他的RVA

2016-04-05 19:20:11 204

原创 GreenHandX1h 2016.4.5 (✵NT头✵)(1)

2016年4月5日X1h关于NT头的详细了解文章开始嘻嘻嘻-0-首先DOS头结束之后我们顺着DOS头中的e_lfanew可以找到NT头开始的部分。(e_lfanew用来表示DOS头后面NT头相对文件起始地址的偏移) 那么我们就找到了NT头,找到之后我们都能获得哪些信息呢?以下就是NT头的结构 typedef struct _IMAGE_NT_HEADERS { DWORD

2016-04-05 18:21:37 254

原创 GreenHandX1h 4.1 questions

4.1上午问题记录今天上午我主要巩固了一下昨天学到的知识,有如下几个知识点进行了进一步的了解加深va与rva的定义问题在硬盘存储当中,与加载到内存中,其占用的地址空间大小的区别。什么叫做重定位(即指定的基地址被其他PE程序或者是DLL占用后,重新寻找VA,这样就避免了冲突,这样的功能我们称它为重定位)4.1下午我将进行对于文件头的具体研究

2016-04-01 10:24:42 336

转载 Code resource ✵1

#include<Windows.h>#include<iostream>#include<fstream>using namespace std;BOOL IsPeFile(LPVOID ImageBase) //判断是否是PE文件结构//首先检验文件头部的第一个字是否是PRIMAGE_DOS_SIGNATURE//然后定位PE头,如果PE头符合IMAGE_NT_SIGNAT

2016-03-31 21:59:56 223

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除