PE文件 01 导入表
摘要:
0x01 导入表结构 数据目录表中的第二个成员标记了导入表的RVA和Size大小,由此可以定位到导入表: 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 阅读全文
posted @ 2017-10-30 14:28 沉疴 阅读(425) 评论(0) 推荐(0) 编辑
2017年10月30日 #
2017年10月10日 #
《软件调试 Windows概要》
摘要:
操作系统是计算机系统中的基本软件。它负责管理系统中的软硬件资源。通常都包括文件管理、内存管理、进程管理、打印管理、网络管理等基本功能。除此之外,支持调试也是操作系统设计的一项根本任务。 0x01 进程和进程空间 进程和程序的关系好比是类和实例的关系,运行一个程序时,操作系统就为这个程序创建一个实例。 阅读全文
posted @ 2017-10-10 20:11 沉疴 阅读(233) 评论(0) 推荐(0) 编辑
2017年9月26日 #
调用约定
摘要:
编译器:VS2015 调用约定的直观认识: __stdcall是微软自己搞出来的, c、c++的默认调用方式是_cdecl, 另外还有优化的__fastcall(通过寄存器传递参数) 以及c++的,thiscall(不能直接使用) 还有naked call (可参考http://blog.csdn. 阅读全文
posted @ 2017-09-26 20:20 沉疴 阅读(211) 评论(0) 推荐(0) 编辑
2017年9月23日 #
自定义String
摘要:
// ShStringNew.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include using namespace std; class SHString { public: SHString(const char* Str = "") :mStr(new char[strlen(Str) + 1]) { st... 阅读全文
posted @ 2017-09-23 16:31 沉疴 阅读(172) 评论(0) 推荐(0) 编辑
2017年9月21日 #
逆转单链表
摘要:
#include using namespace std; template struct ListNode { T Data; ListNode* Flink; ListNode() { Flink = NULL; } ListNode(T SHData, ListNode* SHFlink = NULL) { Data = SHData; Flink = SHFlink;... 阅读全文
posted @ 2017-09-21 15:59 沉疴 阅读(136) 评论(0) 推荐(0) 编辑
2017年9月12日 #
MinHook测试分析02 (x64)
摘要:
在X64模式中,存在的问题是JMP指令和整个地址空间相比仅仅覆盖了很窄的范围。因此引入一个中继函数(Relay Function)来实现对64位Detour函数地址的跳转。 在hook的分析之前,先谈一下前一篇帖子评论中的相关话题。 之前发布的一篇Minhook分析,有大牛说没有写出多线程安全,指令 阅读全文
posted @ 2017-09-12 23:02 沉疴 阅读(1723) 评论(0) 推荐(0) 编辑
2017年9月10日 #
单例模式 C++
摘要:
0x01 概念 单例模式最初的定义出现于《设计模式》(艾迪生维斯理):“保证一个类仅有一个实例,并提供一个访问它的全局访问点。” 单例模式该的实现:构造函数声明为private或protect防止被外部函数实例化,内部保存一个private static的类指针保存唯一的实例,实例的构造是一个pub 阅读全文
posted @ 2017-09-10 14:31 沉疴 阅读(172) 评论(0) 推荐(0) 编辑
构造函数不能为虚函数
摘要:
1.从虚函数的调用机制上看,如果构造函数为虚函数的话,那函数地址将存储在虚表,将由虚表指针来访问续表,而虚表指针是类对象的第一个数据成员,类对象又要由构造函数产生,所以构造函数不能是虚函数。 2.从构造函数的作用来看,构造函数的作用是提供初始化,在对象生命期只执行一次,不是对象的动态行为,也没有必要 阅读全文
posted @ 2017-09-10 12:49 沉疴 阅读(155) 评论(0) 推荐(0) 编辑
2017年9月9日 #
Windows消息机制
摘要:
Windows的应用程序是事件(消息)驱动的。它们不会显式地调用函数(如C运行时库调用)来获取输入,而是等待windows向它们传递输入。 windows系统把应用程序的输入事件传递给各个窗口,每个窗口有一个函数,称为窗口消息处理函数。窗口消息处理函数处理各种用户输入,处理完成后再将控制权交还给系统 阅读全文
posted @ 2017-09-09 22:03 沉疴 阅读(303) 评论(0) 推荐(0) 编辑
2017年9月7日 #
Driver 01 进程隐藏
摘要:
大二时候的代码以及笔记,当时暂时记录在QQ上在,现在发出来分享一下。 为了写驱动装一大堆的软件插件啥的,还常常失败。这里就顺带总结下SDK下载和WinDbg symbol路径设置正确WinDbg却总是无法找到symbol文件的问题。(当然我的失败解决或者说问题原因的解决不是屡试不爽的,这里仅供您参考 阅读全文
posted @ 2017-09-07 23:04 沉疴 阅读(678) 评论(0) 推荐(0) 编辑