|
|||
|
摘要:
本文借助windbg来理解程序中的函数如何使用handle对句柄表进行查询的。所以先要开启Win7下Windbg的内和调试功能。 解决win7下内核调试的问题 win7下debug默认无法进行内核调试(!process等命令无法使用),除非是双机调试。或改用livekd进行调试。 尝试http:// 阅读全文
posted @ 2018-11-09 14:03 Ady Lee 阅读(398) 评论(0) 推荐(0) 编辑
摘要:
请问如何将偏移量转换为地址? 我在使用软件定位木马特征码的时候,只得到偏移量,为什么有的人用OD转到偏移量,但我用OD的时候,显示没有这个偏移量的,请问如何将偏移量转换为地址? 在DFCG回答过,再转过来吧。+ + + + + + +| 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 |+ + 阅读全文
posted @ 2018-11-08 21:04 Ady Lee 阅读(1496) 评论(0) 推荐(0) 编辑
摘要:
DLL注入 1.首先要获取想要注入的进程句柄(OpenProcess) 2.从要注入的进程的地址空间中分配一段内存(VirtualAllocEx) 3.往分配的内存位置写入要注入的DLL名称(WriteProcessMemory) 4.从kernel32.dll中找到LoadLibrary(A或W) 阅读全文
posted @ 2018-11-07 22:19 Ady Lee 阅读(510) 评论(0) 推荐(0) 编辑
摘要:
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。 ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B 阅读全文
posted @ 2018-09-09 20:09 Ady Lee 阅读(1843) 评论(0) 推荐(0) 编辑
摘要:
第一次学习PE结构,也不知道有没有更好的办法。 1、AddressOfEntryPoint 这个成员在OptionalHeader里面,OptionalHeader的类型是一个IMAGE_OPTIONAL_HEADER32结构。该结构总共有31个成员,占的大小为224字节。成员7就是AddressO 阅读全文
posted @ 2018-08-21 14:47 Ady Lee 阅读(669) 评论(0) 推荐(0) 编辑
摘要:
驱动程序和客户应用程序经常需要进行数据交换,但我们知道驱动程序和客户应用程序可能不在同一个地址空间,因此操作系统必须解决两者之间的数据交换。驱动层和应用层通信,主要是靠DeviceIoControl函数,下面是该函数的原型:BOOL DeviceIoControl ( HANDLE hDevice, 阅读全文
posted @ 2018-08-09 23:31 Ady Lee 阅读(1781) 评论(0) 推荐(0) 编辑
摘要:
1 . 条件断点是断点命令 ( bp 或者 bu ) 与j命令或者.if命令一起使用的,后面跟着一个gc命令 0:000> bp Address "j (Condition) 'OptionalCommands'; 'gc' " 0:000> bp Address ".if (Condition) 阅读全文
posted @ 2018-08-05 12:25 Ady Lee 阅读(5771) 评论(0) 推荐(0) 编辑
摘要:
原文 https://blog.csdn.net/zhymax/article/details/7683925 Openssl提供了强大证书功能,生成密钥对、证书,颁发证书、生成crl、验证证书、销毁证书等。本文将j介绍如何利用openssl的命令分析RSA私钥文件格式,同时也将简单介绍几种常见的私 阅读全文
posted @ 2018-07-25 16:11 Ady Lee 阅读(2327) 评论(0) 推荐(0) 编辑 |
|||
