摘要:
Windows Internals---Processes,Threads,Jobs(1) 这是Windows Internals第6章的内容。发现描述的还算详细。读了总比不读强。于是纪录之,老鸟飘过---- ... 阅读全文
2009年3月20日
摘要:
PEB和TEB 分类: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的a56爆大奖在线娱乐线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的T... 阅读全文
摘要:
PE 的意思就是 Portable Executable(可移植的执行体)。PE文件结构的总体层次分布图: -------------- |DOS MZ Header | |--------------| |DOS Stub | |--------------| |PE Header | |--------------| |Section Table | |--------... 阅读全文
2009年3月9日
摘要:
挂钩API(Hooking API)一般分为运行前挂钩和运行时挂钩。运行前挂钩是修改a56爆大奖在线娱乐们想要挂钩函数来自的物理模块(大多数时候是exe或者dll文件)。运行时挂钩则是直接修改进程的内存空间。a56爆大奖在线娱乐的方法属于运行时挂钩。 如果是修改本进程的IAT来实现挂钩,可以直接使用imagehlp.dll里的ImageDirectoryEntryToData函数很容易地找到本进程的IAT。具体方法参考这篇... 阅读全文
2009年3月6日
摘要:
原文链接:http://bbs.pediy.com/showthread.php?t=64701 标 题: 【原创】PE 文件格式启发式学习(以hello.exe 为例) 作 者: hjjdebug 时 间: 2008-5-11 21:07 问:1.1 a56爆大奖在线娱乐知道程序中最重要的段是text段,请告诉a56爆大奖在线娱乐text 段在哪? 答:1.1 text 段在文件偏移0x400处,大小0x200字节,该区可运行,... 阅读全文
2009年2月27日
摘要:
大家都很清楚,了解可执行文件的结构有多么的重要,DOS下如此,Windows下也同样如此。如果你想加密程序,编写病毒等,了解PE文件结构必是不可缺少的。大家也可能见到很多这方面的资料,但都是从理论上解说一下,很少见到拿一个具体文件开刀的。这里,a56爆大奖在线娱乐就用前面“系列4”中的文件4.EXE为例来剖析一下PE文件格式,因时间关系,不可能一下子就写的很完善,如可行,以后再慢慢补来。 ===========... 阅读全文
摘要:
这篇文章是在Servex.exe专杀工具写完之后的一些小小感想,关于PE感染和修复,大牛飘过~ 自某日不小心中了Serverx.exe病毒,电脑中大部分EXE文件被感染,系统盘system32目录下的病毒文件Serverx.exe总也杀不掉,因为即使删掉了,每次运行了被感染的程序之后还会再次生成。(关于此毒的详细资料,有兴趣的直接在百度搜索"Serverx.exe"或"愤怒天使"即可)在网上... 阅读全文
2004年12月12日
2004年12月9日
摘要:
请诸位高手,多多指教! 阅读全文