会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
心有猛虎,细嗅蔷薇
博客园
|
首页
|
新随笔
|
新文章
|
联系
|
订阅
|
管理
2017年3月18日
常用的静态反调试技术及其规避方法
摘要: 静态反调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态反调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段 已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则
阅读全文
posted @ 2017-03-18 23:05 freesec
阅读(1020)
评论(0)
推荐(0)
编辑
teb, peb,seh 结构
摘要: 1.teb:线程环境块 重要字段: 以fs:[0]为基址,fs:[0]的值即为teb的地址, 可以将fs理解为指向teb,后面的0是个字节级别的偏移,虽然并不完全正确,但方便记忆 +0x0 *NtTib 是个_NT_TIB 结构 +0x18 *teb==fs:[0] +0x30 *peb _NT_T
阅读全文
posted @ 2017-03-18 22:23 freesec
阅读(1358)
评论(0)
推荐(0)
编辑
线程本地存储tls
摘要: 1.动态tls介绍 windows为每个进程分配一组线程本地存储的标记. 至少有64个标记,如果程序使用超过了64个将动态增长. 这些标记有2种状态: free和inuse. 所有标记的状态对该进程中所有线程都是可见的. 程序中每个线程会对应每个标记一个slot,这个slot是个lpvoid的值 程
阅读全文
posted @ 2017-03-18 10:03 freesec
阅读(436)
评论(0)
推荐(0)
编辑
公告