上一页 1 2 3 4 5 6

2016年3月13日

PsLookupProcessByProcessId分析

摘要: 本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpe 阅读全文

posted @ 2016-03-13 11:00 ciyze0101 阅读(5939) 评论(0) 推荐(0) 编辑

2016年2月24日

通过TLS回调函数的反调试

摘要: 下面是TLS数据结构的定义 AddressOfCallBacks是一个数组,表示可以有多个TLS回调函数,所谓的TLS回调函数,就是当创建/终止进程的线程时会自动调用的执行的函数。 创建进程的主线程也会自动调用回调函数,且其调用执行先于EP代码,反调试技术利用的就是TLS回调函数这一特性。 回调函数 阅读全文

posted @ 2016-02-24 13:42 ciyze0101 阅读(1019) 评论(0) 推荐(0) 编辑

2016年2月8日

Windows x64位通过PEB获得Kernel32基地址

摘要: 在64位系统下 gs:[0x30] 指向TEB gs:[0x60] 指向PEB 这里用内联汇编获得PEB基地址 声明之后即可调用该函数获得PEB地址,关于内联汇编的使用请自行百度 下面在看PEB结构 将结构都列举出来了之后,下面就是通过PEB和看到的偏移获取到模块基地址。 第一个是Ntdll,第二个 阅读全文

posted @ 2016-02-08 17:59 ciyze0101 阅读(3500) 评论(0) 推荐(0) 编辑

2016年1月4日

SEH结构

摘要: 首先有几点问题 1.在后文中看到的PE的节中的配置信息表Load configuration是对SEH回调函数的注册,那么Exception Table是加载的什么信息。 2.什么时候走进系统异常,什么时候走进自己注册的异常回调函数。 摘自 《加密与解密》和《Windows PE权威指南》 0x01 阅读全文

posted @ 2016-01-04 19:17 ciyze0101 阅读(1107) 评论(0) 推荐(0) 编辑

上一页 1 2 3 4 5 6

导航