2017年2月16日
摘要: 我们一般要获得一个函数的地址,通常采用的是明文,例如定义一个api函数字符串"MessageBoxA",然后在GetProcAddress函数中一个字节一个字节进行比较。这样弊端很多,例如如果我们定义一个杀毒软件比较敏感的api函数字符串,那么可能就会增加杀毒软件对我们的程序的判定值,而且定义这些字 阅读全文
posted @ 2017-02-16 20:31 bokernb 阅读(822) 评论(0) 推荐(0) 编辑
摘要: PEB地址的取得在NT内核系统中fs寄存器指向TEB结构,TEB+0x30处指向PEB结构,PEB+0x0c处指向PEB_LDR_DATA结构,PEB_LDR_DATA+0x1c处存放一些指向动态链接库信息的链表地址,win7下第一个指向ntdl.dll,第三个就是kernel32.dll的。 ty 阅读全文
posted @ 2017-02-16 11:12 bokernb 阅读(9312) 评论(1) 推荐(8) 编辑
  2016年11月30日
摘要: 一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Wi 阅读全文
posted @ 2016-11-30 10:06 bokernb 阅读(3315) 评论(0) 推荐(3) 编辑