摘要: 程序加载的过程: 1、一般情况下,EXE都是可以按照ImageBase的地址进行加载的.因为Exe拥有自己独立的4GB 的虚拟内存空间 但DLL 不是 DLL是有EXE使用它,才加载到相关EXE的进程空间的. 2、为了提高搜索的速度,模块间地址也是要对齐的 模块地址对齐为10000H 也就是64K 阅读全文
posted @ 2023-05-08 18:45 摸鱼小曹 阅读(29) 评论(0) 推荐(0) 编辑
摘要: #include "stdafx.h" #include<stdio.h> #include<windows.h> #include<malloc.h> ////////////////////////////////////////////////////////////////// //File 阅读全文
posted @ 2023-05-08 18:34 摸鱼小曹 阅读(19) 评论(0) 推荐(0) 编辑
摘要: 1、如何定位导出表: 数据目录项的第一个结构,就是导出表. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 阅读全文
posted @ 2023-05-08 18:27 摸鱼小曹 阅读(20) 评论(0) 推荐(0) 编辑
摘要: 静态编译:优点:实现代码的重复使用 方便缺点:将二进制代码直接编译到exe中 反汇编无法识别使用静态链接生成的可执行文件体积较大,造成浪费 我们常用的printf、memcpy、strcpy等就来自这种静态库 静态链接库的代码在lib中 而动态链接库的代码在dll里面 创建静态链接库: 1、在VC6 阅读全文
posted @ 2023-05-08 18:14 摸鱼小曹 阅读(33) 评论(0) 推荐(0) 编辑
摘要: 合并节:法一:sizeofimage-第一个节RVA法二:最后一个节RVA-在内存中对齐后的头 扩大节: 1、拉伸到内存 2、分配一块新的空间:SizeOfImage + Ex 3、将最后一个节的SizeOfRawData和VirtualSize改成N SizeOfRawData = Virtual 阅读全文
posted @ 2023-05-08 18:00 摸鱼小曹 阅读(45) 评论(0) 推荐(0) 编辑
摘要: #include "stdafx.h" #include<stdio.h> #include<windows.h> #include<malloc.h> #define ShellCodeIen 0x12 #define MessageBoxAdder 0x77D507EA BYTE ShellCo 阅读全文
posted @ 2023-05-08 17:52 摸鱼小曹 阅读(47) 评论(0) 推荐(0) 编辑
摘要: 新增节:1、判断是否有足够的空间,可以添加一个节表.判断条件:SizeOfHeader - (DOS + 垃圾数据 + PE标记 + 标准PE头 + 可选PE头 + 已存在节表) >= 2个节表的大小2、需要修改的数据1) 添加一个新的节(可以copy一份)2) 在新增节后面 填充一个节大小的000 阅读全文
posted @ 2023-05-08 17:48 摸鱼小曹 阅读(24) 评论(0) 推荐(0) 编辑
摘要: // p44.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <malloc.h> #define ShellCodeIen 阅读全文
posted @ 2023-04-26 21:40 摸鱼小曹 阅读(120) 评论(0) 推荐(0) 编辑
摘要: 1.我们添加的代码不是c,不是汇编,而是二进制,因为exe都是二进制组成的,我们要知道一些汇编的硬编码,call的硬编码是E8,jmp的硬编码是E9 2.知道了call的硬编码,那么后面的地址是直接用编译器打开的地址吗?不是的,地址是经过转换得到的,公式:真正要跳转的地址=E8下一条指令的地址+X, 阅读全文
posted @ 2023-04-26 21:38 摸鱼小曹 阅读(37) 评论(0) 推荐(0) 编辑
摘要: #include "stdafx.h" #include<stdio.h> #include<windows.h> #include<malloc.h> // //FileBuffer函数 DWORD ReadPEFile(LPVOID* ppFileBuffer) { FILE* pFile=NU 阅读全文
posted @ 2023-04-26 21:32 摸鱼小曹 阅读(50) 评论(0) 推荐(0) 编辑