随笔分类 -  WinPE

摘要：特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。 我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取 阅读全文

摘要：看罗云彬的win32汇编，看到搜索kernel32.dll基址问题的时候，有点小问题，书上说：主程序从堆栈得到的返回地址，将其作为参数传递过来，然后按64k对齐，也就是与0ffff0000h进行and操作，然后按页搜索时，递减10000h！为什么按64k对齐呢?咋不按内存中一页大小对齐呢？还有为啥要递减10000h呢?纳闷啊。。。于是百度+google,老费劲地找到答案了。。。请看这段话！“对于加载到程序中的模块,基址都是对齐的,你自己可以用调试器看一下,程序中各个模块包括dll和程序本身,加载进去的基址十六进制末四位都是0,也就是0xxxx0000H,也就是PE头会出现在这些地址附近,所以减 阅读全文