摘要： 五种常用的IRP类型: #define IRP_MJ_CREATE 0x00 //CreateFile() #define IRP_MJ_CLOSE 0x02 //CloseHandle() #define IRP_MJ_READ 0x03//ReadFile #define IRP_MJ_WRIT 阅读全文

摘要： 1.Windows的分段 系统级的段在GDT中定义,GDT存放在内存中,而寄存器GDTR指向该GDT. 通过rM 0x100 查看特殊寄存器: 由此可见,本次gdtr指向0x8003f000 . 或者直接r gdtr: 其中gdtl是gdt的大小3ff=1023个字节 因此查看gdt:(这里用dq因 阅读全文

摘要： 1.简介 通过注入一个远程线程到explorer.exe中,该线程对要被保护的进程进行监控,如果发现该进程退出了就重新启动之. 远程代码注入实现:http://www.cnblogs.com/freesec/p/6554518.html 2.测试代码 阅读全文

摘要： 1.简介 PE文件插入程序经常用于恶意代码感染其他程序.本文介绍3种方式:空闲空间, 新增节,在最后一个节中插入程序. 2.空闲空间插入程序 大部分PE文件的节因为文件对齐而产生一些空闲空间,所以可以将程序插入到这些空间中,然后修改入口点,或者修改入口点代码跳到该处执行,执行完后跳回 OEP. 程序 阅读全文

摘要： 1.分类 (1)结构重叠 (2)空间调整 (3)数据转移 (4)数据压缩 2.结构重叠 (1) 简介 在不影响运行的前提下将某些数据结构字段进行重叠,并修正需要修正的字段 (2)条件 被覆盖中的数据是某一个结构不重要的部分;2个结构共用重叠部分的值,这样就需要这两个结构在重叠部分值相同. (3)个人 阅读全文

摘要： 1.简介 用于存放基于结构化异常处理的各种异常句柄. 当程序运行发生异常后,os会根据异常类别对异常进行分发处理. 如果PE中该部分没有对应的异常类别处理函数句柄,os将会调用其内核模式的异常分发函数终止程序运行. 2.定位 位于数据目录的第11个条目 3.解析其数据结构 例如:windows的ca 阅读全文

摘要： 1.静态tls将变量定义在PE文件内部. 使用.tls节存储 .tls节中包含: 初始化数据 用于每个线程初始化和终止的回调函数 TLS索引 2.代码访问tls数据时经过的步骤: (1) 链接时, 链接器设置tls目录中的AddressOfIndex字段. 该字段指向一个位置,该位置保存了程序用到的 阅读全文

摘要： 1.资源类型 2.PE资源表组织方式 共有4级,称为1级目录,2级子目录,3级子目录,4级具体数据 1级目录按资源类型分类,如光标,菜单,加速键等 2级子目录按资源id分类 3级子目录按照资源代码页分类,不同语言的代码页对应不同数据 4级就是数据,文件了 3.PE资源分布及其数据结构 (1). 资源 阅读全文

摘要： 1.代码重定位提出 可执行代码在PE文件中移动到另一个位置时,内容并不变,但如果全局数据位置变了但是某些使用绝对地址定位的操作数的代码将不会改变,这时 仍然引用目标将会出错. 例如: 0040103B >/$ B8 00304000 mov eax,parseRel.00403000 ; ASCII 阅读全文

摘要： 1.函数 iota(p1,p2,value)对p1,p2之间的值进行递增填充 2. 阅读全文