摘要:
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我 阅读全文
posted @ 2018-11-09 14:44 Ady Lee 阅读(378) 评论(0) 推荐(0) 编辑
摘要:
Reserves, commits, or changes the state of a region of pages in the virtual address space of the calling process. Memory allocated by this function is 阅读全文
posted @ 2018-11-09 14:43 Ady Lee 阅读(343) 评论(0) 推荐(0) 编辑
摘要:
转载请声明出处:http://www.cnblogs.com/predator-wang/p/5076681.html 5. 无DLL注入(远程代码注入) 在第三中方法种,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址,其实我们可 阅读全文
posted @ 2018-11-09 14:42 Ady Lee 阅读(467) 评论(0) 推荐(0) 编辑
摘要:
转载请声明出处:http://www.cnblogs.com/predator-wang/p/5076279.html 3. 利用远程线程注入DLL 1)、取得远程进程的进程ID; 2)、在远程进程空间中分配一段内存用来存放要注入的DLL完整路径; 3)、将要注入的DLL的路径写到刚才分配的远程进程 阅读全文
posted @ 2018-11-09 14:41 Ady Lee 阅读(784) 评论(0) 推荐(0) 编辑
摘要:
转载请声明出处:http://www.cnblogs.com/predator-wang/p/4792976.html 参考:http://andylin02.iteye.com/blog/459483 进程注入的方法分类如下: 带DLL的注入 利用注册表注入 利用Windows Hooks注入 利 阅读全文
posted @ 2018-11-09 14:40 Ady Lee 阅读(293) 评论(0) 推荐(0) 编辑
摘要:
数组名为何物? 32位系统中,指针大小是4字节,输出结果: 所以number不是指针。 但数组名又可以直接赋值给指针: 数组名不能自加自减: 数组名是一个指针常量。 (1)数组名的内涵在于其指代实体是一种数据结构,这种数据结构就是数组;(2)数组名的外延在于其可以转换为指向其指代实体的指针,而且是一 阅读全文
posted @ 2018-11-09 14:33 Ady Lee 阅读(204) 评论(0) 推荐(0) 编辑
摘要:
形参的初始化与变量的初始化一样:如果形参具有非引用类型,则复制实参的值,如果形参为引用类型,则它只是实参的别名。 非引用形参: 普通的非引用类型的参数通过复制对应的实参实现初始化。当用实参副本初始化形参时,函数并没有访问调用所传递的实参本身,因此不会修改实参的值。 while 循环体虽然修改了 v1 阅读全文
posted @ 2018-11-09 14:31 Ady Lee 阅读(337) 评论(0) 推荐(0) 编辑
摘要:
概述 API在某个头文件中定义,被封装在某个DLL中,而这个DLL会进一步被封装在ntdll.dll中(它里面的API叫native api),比如,ReadFile在ntdll.dll中就对应着ntReadFile;然后这个API会通过sysenter的方式进入内核层。 那么,比如对于Create 阅读全文
posted @ 2018-11-09 14:27 Ady Lee 阅读(242) 评论(0) 推荐(0) 编辑
摘要:
LoadDriver 首先通过OpenSCManager打开服务会话管理器,然后利用CreateService创建驱动所对应的服务,这个函数很重要,它涉及到了驱动的安装。它会在注册表的对应位置创建一个服务名。它相当于InstDrv中的安装按钮: 服务会创建在注册表位置:HKEY_LOCAL_MACH 阅读全文
posted @ 2018-11-09 14:26 Ady Lee 阅读(400) 评论(0) 推荐(0) 编辑