摘要:
1.复制代码的编写原则: 请勿转载,仅供学习使用!!!!!! 阅读全文
摘要:
1.模块隐藏之断链 MOV eax,fs:[0] 2. PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB; MOV eax,fs:[0x30] mov PEB,eax 3.TEB与PEB都在用户空间 可以防止API查找进程的,但是不能防止VAD树内存检索 3.V 阅读全文
摘要:
1.远程注入流程: 在进程A中创建远程线程,将线程函数指向为LoadLibrary(); 具体实现步骤: 阅读全文
摘要:
CreateRemoteThread是一个Windows API函数,它能够创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).。 HANDLE WINAPI CreateRemoteThread( __in HANDLE hProcess, __in LPSECURITY_ATTRIBU 阅读全文
摘要:
kernel32 user32 ntdll 全部都是通过Mapping映射到各个文件进程内,实际上物理页就一份 为什么kernel32等dll共享时候为啥进程相互之间改写不影响? 原因:因为映射的是写拷贝属性,写的也是拷贝后的数据,而不是原数据 阅读全文
摘要:
2.卷相关API 阅读全文
摘要:
1.通过映射来申请内存 物理页可以在多个进程中共享; CreateFileMapping函数用于创建一个文件映射内核对象。 HANDLE CreateFileMapping( HANDLE hFile, //物理文件句柄 LPSECURITY_ATTRIBUTES lpAttributes, //安 阅读全文
摘要:
1.私有内存指的是物理页自己用,无法共享 2.同样一块内存被多个进程共享时,则为共享内存Map 一、申请内存的两种方式: 二、内存的申请与释放: LPVOID VirtualAlloc{ LPVOID lpAddress, // 要分配的内存区域的地址 DWORD dwSize, // 分配的大小 阅读全文