随笔分类 - 逆向工程
meterpreter
摘要:用过metasploit的人应该对meterpreter不陌生,它具有强大的功能,特别是其socks代理,简直就是内网渗透测试神器。由于meterpreter功能强大,萌生了想要把msf做远控的念头。另外,围绕meterpreter一个重要的问题,就是如何绕过杀软。这促使我决定一窥meterpret...
阅读全文
虚拟地址和偏移量转换
摘要:基础知识一、虚拟地址和偏移量转换 由于Windows程序是运行在386保护模式下,在保护模式下,程序访问存储器所使用的逻辑地址称为虚拟地址(Virual Address,VA)。与实地址模式下的分段地址类似,虚拟地址也可写成"段:偏移量"的形式,这里的段是指段选择器。 文件执行时将被映像到指定内...
阅读全文
PE文件之资源讲解
摘要:资源是PE文件中非常重要的部分,几乎所有的PE文件中都包含资源,与导入表与导出表相比,资源的组织方式要复杂得多,要了解资源的话,重点在于了解资源整体上的组织结构。我们知道,PE文件资源中的内容包括:光标、图标、位图、菜单等十几种标准的类型,除此之外,还可以使用自定义的类型,每种类型的资源中,可能存在...
阅读全文
safeseh+dep保护绕过
摘要:【文章作者】 :h_one【漏洞程序名称】:mplayer.exe【漏洞类型】 :缓冲区溢出【保护方式】 :safeseh+dep【操作平台】 : xp sp3【工具】 :windbg, immunity Debugger,mona等ps:这个程序是前两年xx比赛的题目,肯定有...
阅读全文
Using Hooks
摘要:The following code examples demonstrate how to perform the following tasks associated with hooks:Installing and Releasing Hook ProceduresMonitoring Sy...
阅读全文
RVA与Offset的换算函数
摘要:functionRVAToFileOffset(FileName:string;RVA:Cardinal):Cardinal;varMemPE:TFileStream;PEDosHead:TImageDosHeader;PENtHead:TImageNtHeaders;Section:TImageS...
阅读全文
手写PE文件(二)
摘要:【文章标题】: 纯手工编写的PE可执行程序【文章作者】: Kinney【作者邮箱】:mohen_ng@sina.cn【下载地址】: 自己搜索下载【使用工具】: C32【操作平台】: win 7【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!--------------------...
阅读全文
手写PE文件(一)
摘要:DOS Header(IMAGE_DOS_HEADER)->64 ByteDOS头部 DOS Stub 112字节"PE"00(Signature) 4个字节 IMAGE_FILE_HEADER 20个字节PE文件头 IMAGE_OPTIONAL_HEADER32 96个字节 数据目录表16*8=1...
阅读全文
打造XP下可运行的微型PE文件
摘要:前几天和朋友交流技术,提到手工打造微型PE文件,他说现在网上流传的大部分版本在XP SP3下都不能运行,于是心血来潮,拍着胸脯说:“你放心,忙完了帮你做一个。”后来花了半天时间,终于打造出一个XP下可运行的微型PE,弹出一个对话框,292字节,当然这离极限也许还差得远,不过自己做了一次,还是有些心得...
阅读全文
利用PE数据目录的导入表获取函数名及其地址
摘要:PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧...
阅读全文
TLS学习总结
摘要:我们有知道Immunity Debugger,OD调试器,在调试程序时会设断在OEP(修改第一个字节0xcc)。我在想,使用什么编程技术,代码可以在OEP前被执行。在网上找了些资料,在论坛上看到许多大牛,使用静态TLS做了好多有趣的事,今天自己也来终结下,,呵呵1. 什么是TLS?TLS是Threa...
阅读全文
PE文件结构深入详解
摘要:一、PE结构基础看了很多PE结构类的东东,要不上来就是整体结构,要不就是一大堆ASM代码,看的我等菜鸟有点难受!所以自己写个帖·学习PE我们先来弄懂几个问题!1:几个地址的概念VA:虚拟地址,也就是内存中的地址!RVA:相对虚拟地址,等于VA-ImageBaseOffset:物理地址,磁盘上文件的地...
阅读全文
PE文件结构学习
摘要:PE:Portable Executable File Format(可移植的执行体)。Windows平台主流可执行文件格式。.exe与.dll文件都是PE格式。32位的叫做PE32,64位的叫做PE32+。PE文件格式定义在winnt.h头文件中。PE文件格式总览:PE文件使用的是一个平面地址空间...
阅读全文
PE文件信息获取工具-PEINFO
摘要:能实现基本的信息获取区段信息数据目录信息导入表函数分析导出表函数分析,能同时解析只序号导出和以函数名序号同时导出的函数FLC计算需要源码的可以留邮箱。
阅读全文
最小PE文件讨论
摘要:1.实例1国外的人写的最小的PE文件--97Bytes4D5A0000504500004C0101006A2A58C30000000000000000040003010B0108000400000000000000040000000C000000040000000C00000000004000040...
阅读全文
PE文件结构详解
摘要:(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp // Bytes on la...
阅读全文
金山2007逆向分析挑战赛第一阶段第二题详解
摘要:题目:一、将_text,_rdata,_data合并成一个EXE文件,重建一个PE头二、在第一步的基础上加入一个菜单三、加入点击菜单调用MessageBox*************************************************************因为最终结果是一个用W...
阅读全文
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
摘要:由于这次文章内容比较多所以写成DOC文档为了复习所学的知识,我在原本的软件里试者手动加入区段,并写给大家分享,还试试者用LordPE加区段发现竟然失败了,还是自己动手比较实在,完美运行。利用OD的汇编功能可以在新的区段为所欲为哈哈修改前的PE信息修改后的PE信息摘自:http://bbs.pediy...
阅读全文
WinHex分析PE格式(1)
摘要:最近在一直努力学习破解,但是发现我的基础太差了,就想学习一下PE结构。可是PE结构里的结构关系太复杂,看这老罗的WiN32汇编最后一章翻两页又合上了。。把自己的信心都搞没了。感觉自己的理解能力不行,实践一下也许会好一点,可是怎么实践,进看雪搜一下发现了不少帖子的手写PE太牛了。。,心想咱们手写不行看...
阅读全文
PE工具
摘要:PE编辑工具Stud_PE v. 2.4.0.1PE工具,用来学习PE格式十分方便。http://www.cgsoftlabs.ro/汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840 LordPE DLX增强版(2008.5.31)2...
阅读全文
