上一页 1 ··· 5 6 7 8 9 10 11 下一页
摘要: 节的操作 若要对PE文件填充自己的代码,然后发现字节空间不足,这时候就需要对节表进行操作 此处主要讲节的三种操作,分别为扩大节、新增节、合并节 扩大节 简介 对文件的节表进行扩大,为了方便操作,只需对最后一个节进行扩大OK了 此处演示扩大1000(16进制)个字节的操作 所需工具 Winhex CF 阅读全文
posted @ 2022-08-25 09:36 亨利其实很坏 阅读(200) 评论(0) 推荐(0) 编辑
摘要: RVA转FOA 简介 PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开 若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢? RVA(relative Virtual Address), 又称为相对虚拟偏移,简 阅读全文
posted @ 2022-08-25 09:34 亨利其实很坏 阅读(183) 评论(0) 推荐(0) 编辑
摘要: PE结构的组成 PE结构概述图 由下图可得,PE文件主要分为四部分,分别有DOS部分、PE文件头、节表以及节数据 DOS部分 DOS MZ文件头 DOS文件头结构体代码一共有64字节,最后一个成员指向pe头 在以下结构体代码中的成员只需记住两个,最开始的和最末尾的成员 e_magic和e_lfane 阅读全文
posted @ 2022-08-25 09:33 亨利其实很坏 阅读(119) 评论(0) 推荐(0) 编辑
摘要: 认识PE文件 可执行文件 可执行文件在不同的操作系统平台有不同的结构 Windows平台:PE(Portable Executable) Linux平台:ELF(Executable and Linking Format) 常见的PE文件后缀名有EXE, DLL,SYS等 PE指纹 识别文件是否为P 阅读全文
posted @ 2022-08-25 09:32 亨利其实很坏 阅读(106) 评论(0) 推荐(0) 编辑
摘要: 一、勒索病毒 处理方式 勒索病毒是无解的,要是被感染了基本上很难恢复数据,所以说备份数据很重要 上传被加密的文件至360病毒分析网站,网站如下 http://lesuobingdu.360.cn 有一些简单的勒索病毒或许可以进行解密,以下是解密的网站 https://www.nomoreransom 阅读全文
posted @ 2022-08-24 19:37 亨利其实很坏 阅读(75) 评论(0) 推荐(0) 编辑
摘要: Windows篇 开机启动文件检测 有些病毒木马喜欢藏在系统文件里,开机后会随着系统文件的启动而自动运行木马程序。 1、查看启动菜单: C:\Users\leo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 2、运行执行m 阅读全文
posted @ 2022-08-24 19:37 亨利其实很坏 阅读(244) 评论(0) 推荐(0) 编辑
摘要: LINUX 分析敏感文件或目录 TMP临时目录 tmp目录是一个放置临时文件的目录,普通用户对其目录内的文件都具有读写的权限,因此tmp目录通常用于提权 开机自启动文件分析 查看自启动文件:ls -alh /etc/init.d/ (-h显示文件大小) 查询敏感文件 以下是常用到的find命令: 查 阅读全文
posted @ 2022-08-24 19:36 亨利其实很坏 阅读(269) 评论(0) 推荐(0) 编辑
摘要: 简介 作者在将一个X86平台的项目拖入X64平台的VS的过程中遇到了一些问题,发现此项目运行后出现如下图所示的错误信息 ==(使用了非标准扩展;不支持在此结构上使用__asm关键字)== X86平台下是可以在C/C++代码中嵌入汇编代码的,简称为“内联汇编”, 但是在X64平台下就不能使用了 这里给 阅读全文
posted @ 2022-08-24 19:34 亨利其实很坏 阅读(495) 评论(0) 推荐(0) 编辑
摘要: 什么是按钮事件特征码 破解的一个用易语言编写的软件,通常先要搜索到按钮事件特征码,但是并不是说你按钮事件特征码处下断点就一定能精准的捕获按钮事件。例如易语言时钟控件或启动窗口事件都会通过消息派遣至按钮时间特征码处,就算不触发按钮事件,OD也会在按钮事件特征码下的断点处断下 还有一种情况,如果实在是捕 阅读全文
posted @ 2022-08-24 19:33 亨利其实很坏 阅读(1350) 评论(0) 推荐(0) 编辑
摘要: 一、什么是HOOK Hook是用来获取或者更改程序执行时的某些数据,或者更改程序执行流程的一种技术 Hook还有一种说法叫做“挂钩子” 二、HOOK的两种形式 修改函数代码 Inline Hook 修改函数地址 IAT HOOK SSDT HOOK IDT HOOK EAT HOOK IRP HOO 阅读全文
posted @ 2022-08-24 19:33 亨利其实很坏 阅读(550) 评论(0) 推荐(0) 编辑
上一页 1 ··· 5 6 7 8 9 10 11 下一页