摘要: 汇编-JCC 之前可以修改EIP寄存器的指令JMP,CALL,RETN 所有JCC指令的动作->根据标志寄存器修改EIP的值 标志寄存器 EFLAGS CF(bit 0)[Carry flag] C位 若算术产生的结果在最高有效位(most-significant bit)发生进位或者借位则将其置1 阅读全文
posted @ 2023-04-03 08:26 三次 阅读(254) 评论(0) 推荐(0) 编辑
摘要: ObOpenObjectByPointer 函数打开由指针引用的对象,并返回该对象的句柄 ObReferenceObjectByPointer 例程递增给定对象的指针引用计数。 ObDereferenceObject 例程递减给定对象的引用计数并执行保留检查 ObReferenceObjectByH 阅读全文
posted @ 2022-06-04 22:40 三次 阅读(291) 评论(0) 推荐(0) 编辑
摘要: 前面了解了PE文件的输入和输出,今天来看看另一个重要的结构——资源。资源结构是很典型的树形结构,层层查找,最终找到资源位置。 0x01 资源结构介绍 Windows程序的各种界面成为资源,包括加速键,位图,光标,对话框,图标,菜单,串标,工具栏,版本信息等等,在所有的PE文件中资源结构是最为复杂的。 阅读全文
posted @ 2022-04-04 20:25 三次 阅读(245) 评论(0) 推荐(0) 编辑
摘要: 前面好几篇在讲输入表,今天要讲的是输出表和地址的是地址重定位。有了前面的基础,其实对于怎么找输出表地址重定位的表已经非常熟悉了。 0x01 输出表结构 当创建一个DLL文件时,实际上创建了一组能让EXE或者其他DLL调用的一组函数,PE装载器根据DLL文件中输出信息修正正在执行文件的IAT。当一个D 阅读全文
posted @ 2022-04-04 20:24 三次 阅读(178) 评论(0) 推荐(0) 编辑
摘要: 前面两篇讲到了输出表的内容以及涉及如何在hexWorkShop中找到输出表及输入DLL,感觉有几个地方还是没有理解好,比如由数据目录表DataDirectory[16]找到输出表表后以为找到输入DLL就完了,其实这一流程的最终功能是通过输入DLL找到输入DLL调用的函数,这一步骤是通过输出表结构中的 阅读全文
posted @ 2022-04-04 20:23 三次 阅读(109) 评论(0) 推荐(0) 编辑
摘要: 前一篇了解了区块虚拟地址和文件地址转换的相关知识,这一篇该把我们所学拿出来用用了。这篇我们将了解更为重要的一个知识点——输入表和输出表的知识。 0x01 输入表 首先我们有疑问。这个输入表是啥?为啥有输入表?其实输入表就是记录PE输入函数相关信息的一张表。那为什么要有这张表?答:原来PE文件运行过程 阅读全文
posted @ 2022-04-04 20:22 三次 阅读(160) 评论(0) 推荐(0) 编辑
摘要: 0x00 前言 上一篇介绍了区块表的信息,以及如何在hexwrokshop找到区块表。接下来,我们继续深入了解区块,并且学会文件偏移和虚拟地址转换的知识。 0x01 区块对齐值 首先我们要知道啥事区块对齐?为啥要区块对齐?这个问题其实困扰了我很久,只能怪我操作系统没学好。。。我现在的理解是由于内存和 阅读全文
posted @ 2022-04-04 20:21 三次 阅读(76) 评论(0) 推荐(0) 编辑
摘要: 上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块 区块就是PE载入器将PE文件载入后,将PE文件分割成若干块,每块包含不同的信息,由读写数据块.data,代码块.code,只读数据块.rda 阅读全文
posted @ 2022-04-04 20:21 三次 阅读(95) 评论(0) 推荐(0) 编辑
摘要: 0x00 前言 上一篇讲到了PE文件头的中IMAGE_FILE_HEADER结构的第二个结构,今天从IMAGE_FILE_HEADER中第三个结构sizeOfOptionalHeader讲起。这个字段的结构名也叫做IMAGE_OPTIONAL_HEDAER讲起。 0x01 IMAGE_OPTIONA 阅读全文
posted @ 2022-04-04 20:19 三次 阅读(160) 评论(0) 推荐(0) 编辑
摘要: PE文件格式介绍(一) 0x00 前言 PE文件是portable File Format(可移植文件)的简写,我们比较熟悉的DLL和exe文件都是PE文件。了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通 阅读全文
posted @ 2022-04-04 20:18 三次 阅读(849) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示