摘要： Windows Internals---Processes,Threads,Jobs(1) 这是Windows Internals第6章的内容。发现描述的还算详细。读了总比不读强。于是纪录之，老鸟飘过---- ... 阅读全文

摘要： PEB和TEB 分类: TEB（Thread Environment Block，线程环境块）系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间，在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式，存放在从0x7FFDE000开始的线性内存中，每4KB为一个完整的TEB，不过该内存区域是向下扩展的。在用户模式下，当前线程的T... 阅读全文

摘要： PE 的意思就是 Portable Executable（可移植的执行体）。PE文件结构的总体层次分布图： -------------- |DOS MZ Header | |--------------| |DOS Stub | |--------------| |PE Header | |--------------| |Section Table | |--------... 阅读全文

摘要： 挂钩API（Hooking API）一般分为运行前挂钩和运行时挂钩。运行前挂钩是修改我们想要挂钩函数来自的物理模块（大多数时候是exe或者dll文件）。运行时挂钩则是直接修改进程的内存空间。本文的方法属于运行时挂钩。 如果是修改本进程的IAT来实现挂钩，可以直接使用imagehlp.dll里的ImageDirectoryEntryToData函数很容易地找到本进程的IAT。具体方法参考这篇... 阅读全文

摘要： 一、 Windows加载器 加载器读取一个PE文件的过程如下： 1． 先读入PE文件的DOS头，PE头和Section头。 2． 然后根据PE头里的ImageBase所定义的加载地址是否可用，如果已被其他模块占用，则重新分配一块空间。 3． 根据Section头部的信息，把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。 4． 如果... 阅读全文

摘要： 原文链接:http://bbs.pediy.com/showthread.php?t=64701 标 题: 【原创】PE 文件格式启发式学习(以hello.exe 为例) 作 者: hjjdebug 时 间: 2008-5-11 21:07 问：1.1 我知道程序中最重要的段是text段，请告诉我text 段在哪？ 答：1.1 text 段在文件偏移0x400处，大小0x200字节，该区可运行，... 阅读全文

摘要： 大家都很清楚，了解可执行文件的结构有多么的重要，DOS下如此，Windows下也同样如此。如果你想加密程序，编写病毒等，了解PE文件结构必是不可缺少的。大家也可能见到很多这方面的资料，但都是从理论上解说一下，很少见到拿一个具体文件开刀的。这里，我就用前面“系列4”中的文件4.EXE为例来剖析一下PE文件格式，因时间关系，不可能一下子就写的很完善，如可行，以后再慢慢补来。 ===========... 阅读全文

摘要： 这篇文章是在Servex.exe专杀工具写完之后的一些小小感想，关于PE感染和修复，大牛飘过~ 自某日不小心中了Serverx.exe病毒，电脑中大部分EXE文件被感染，系统盘system32目录下的病毒文件Serverx.exe总也杀不掉，因为即使删掉了，每次运行了被感染的程序之后还会再次生成。(关于此毒的详细资料，有兴趣的直接在百度搜索"Serverx.exe"或"愤怒天使"即可)在网上... 阅读全文

摘要： 虽然微软早已经建议在WINDOWS中用注册表代替INI文件，但是在实际应用中，INI文件仍然有用武之地，尤其现在绿色软件的流行，越来越多的程序将自己的一些配置信息保存到了INI文件中。 INI文件是文本文件,由若干节(section)组成,在每个带括号的标题下面,是若干个关键词(key)及其对应的值(Value) [Section] Key=Valu... 阅读全文

摘要： 请诸位高手,多多指教! 阅读全文