摘要:
FS寄存器非常强大!FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误... 阅读全文
摘要:
百度上随便搜了一个外挂,想分析一下,很不幸,好像是VMP的壳!随便搜的外挂试试OD载入,发现载入不了,看雪上搜了一下,原因找到了可以看到,函数数量和函数名数量都是1,但是其实并没有输出函数,把这两个值改为0,就能用OD载入了。(这也是一个anti的思路)用OD载入然后发现不管怎么走,都会被发现调试器,很郁闷,看雪上继续搜一下,原来是TLS在作怪,看一下文件的TLS表果然是有TLS表。。。跟进去看看... 阅读全文