摘要:
程序设置了int3断点函数 CPU获取后,根据IDT表中的int3的处理函数 主要工作大概是 填充 _KTRAP_FRAME 结构体, 保存的是异常发生时的寄存器环境, 因为在异常处理完毕之后,需要返回产生异常的地方继续执行 然后把异常给CommonDispatchException IDT 表中 阅读全文
摘要:
准备工作: 一个安装了windows操作系统的虚拟机 1. 360软件安装搜虚拟机 选择VMware workstation 15.付费版 2.一直下一步安装。 3.VMware 虚拟机 激活码 永久激活密钥 UG5J2-0ME12-M89WY-NPWXX-WQH88 GA590-86Y05-480 阅读全文
摘要:
WinDbg 的基本使用 WinDbg 支持的调试方式 直接调试(打开一个 exe 程序) 附加调试 (附加到一个已经在运行的进程上) 入侵式:可以改变代码的执行流程和寄存器的内容。 非入侵式:不可以改变代码的执行流程,实际上就是挂起了目标进程,对目标进程的线 程环境和内存进行远程访问操作。 基础指 阅读全文
摘要:
HOOK练习 头文件内容 Dllmain文件内容 main 阅读全文
摘要:
注入 概述 DLL注入的初始动力源自于程序员对其他第三方应用程序进行功能扩展的愿望 注册表注入 ComRes注入 APC注入 消息钩子注入 远程线程注入 依赖可信进程注入 劫持进程创建注入 输入法注入 HOOK HOOK中文名钩子 HOOK的函数: 系统提供的消息HOOK机制 自定义HOOK编程技巧 阅读全文
摘要:
权限管理 查询权限 管理员启动 遍历权限 提升权限 内存管理 Windows提供了以下3种方式管理内存数据 堆:适合用来管理大量的小型对象,使用堆管理方式可以非常方便的帮我们管理所需要的内存空间,而无需去 关心一些细节问题,但是堆管理方式的效率较低,堆内存的控制不够灵活 虚拟内存:适合用于管理大型的 阅读全文
摘要:
PE基础练习 阅读全文
摘要:
PE基础3 导入表的作用是什么? 没有它exe能运行吗? 导入外部模块,提供的API,变量,类 可以没有导入表(这个程序没有用到其它模块) 导出表的作用是什么? 没有它exe能运行吗? 导出模块名,函数(序号),变量,类 通常导出表用于dll,没有导出表程序也可以运行 已知一个dll名,和一个dll 阅读全文
摘要:
PE基础2 (PIMAGE_NT_HEADER)(DOS.e_lfanew + (DWORD)m_pBuff) 区段头位置 = pNt + 4 + 文件头的大小 + 扩展头大小 IMAGE_FIRST_SECTION() VirtualAdddress : 区段在内存的相对虚拟地址 RVA Point 阅读全文
摘要:
PE文件概述 文件格式 .png 、.mp4、.gif、.dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握winodws运行秘密 掌握PE文件对逆向,病毒分析,调试,漏洞.....不可替代作 PE文件常见术语 字段 阅读全文