摘要： https://bpsend.net/thread-377-1-1.html 通过cff , depends灯等软件可以看到dll,导出函数的信息,因为dll中本身就存了这些信息,存了dll中有哪些导出函数,导出函数的序号是什么,名字是什么,以及他们的地址是什么,这些东西都存在导出表里面 导出表发展 阅读全文

摘要： https://bpsend.net/thread-346-1-1.html 实现目标 实现目标：手写实现不大于 200 Byte大小的PE文件（又名：畸形PE/变形PE），要求MessageBox弹框显示一个字符串。 实现要点：充分利用空间，在保证遵循PE结构的基础上对数据结构进行重构存放。 环境 阅读全文

摘要： https://bpsend.net/thread-316-1-1.html LoadPE - pe 加载器 壳的前身 如果想访问一个程序运行起来的内存,一种方法就是跨进程读写内存,但是跨进程读写内存需要来回调用api,不如直接访问地址来得方便,那么如果我们需要直接访问地址,该怎么做呢?.需要把dl 阅读全文

摘要： https://bpsend.net/thread-307-1-1.html PE 内部保存了导入的dll 和 api信息,这些信息保存到一个表里面.称为导入表, 导入表就是 记住一个可执行文件导入了那些dll,以及导入了这些dll中的哪些函数 一个可执行文件会调用其他DLL里的函数或数据，当PE文 阅读全文

摘要： https://www.bpsend.net/thread-306-1-1.html dump 我们点击运行程序进程加载时时,是把文件里面的数据映射进内存,这样进程里面的内存就拿到了各种各样的代码,数据等资源,但是如果我们反着来,就可以从进程的内存里把 exe 文件提出来,这个过程叫做dump过程 阅读全文

摘要： https://www.bpsend.net/thread-444-1-1.html 选项头 IMAGE_OPTIONAL_HEADER：以供操作系统加载PE文件使用，32位必选。 重要字段： DWORD AddressOfEntryPoint； 入口点 DWORD ImageBase 建议模块地址 阅读全文

摘要： https://www.bpsend.net/thread-288-1-2.html​ portable excute 可移植,可执行的文件(exe dll) 能够解析的文件,其内部都是有格式的,不是随随便便放的,都是按照某种规律放的,可执行文件也是如此,他有自己的格式,exe 和 dll 的格式是 阅读全文

摘要： https://www.bpsend.net/thread-274-1-3.html 内存断点 访问断点 写入断点 内存写入断点 简介：当被调试进程访问，读或写指定内存的时候，程序能够断下来。 思考1： 要想将一段内存设为内存断点，最终的目的是让其能够抛异常。调试器是基于异常的一个程序。应该如何实现 阅读全文

摘要： 调试器原理与编写03.单步-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net 单步 TF - 置位(置1 复位就是置0) 单步步入 -- 遇到call便入 单步步过 -- 遇到call不入 区分一条指令是不是call指令: 通过反汇编引擎,反汇编出来是个 call 阅读全文

摘要： https://www.bpsend.net/thread-256-1-2.html 一般断点(软件断点) 断点的尊严 断的下来 走的过去 下次还来 所有合格的断点都应该满足这3个要求 OD下断点实际是把指令的第一个字节改成了CC,当程序执行到CC的时候其实是抛了一个异常(EXCEPTION_BRE 阅读全文