随笔分类 - Win32
摘要:如果要在vs设置函数生成的顺序,可以使用/ORDER链接选项,该选项指定一个文件,里面每行为一个函数符号名,该名字可以用dumpbin查看程序的obj文件。例如(EXTERN_C):void func1()void func2() order.txt:func1func2 void func1(in
阅读全文
摘要:typedef ULONG KPRIORITY;typedef struct _CLIENT_ID{ HANDLE UniqueProcess; HANDLE UniqueThread;} CLIENT_ID, *PCLIENT_ID;typedef enum _KWAIT_REASON { Exe...
阅读全文
摘要:如果在改成/MT或/MTd链接后导入表还是存在msvcrxxx.dll,应该是链接的其他库使用了/MD或/MDd编译链接。可以从wdk中复制一个msvcrt.lib,然后在项目属性--链接器--输入--附加依赖项中添加该msvcrt.dll.
阅读全文
摘要:BOOL bRet = InternetSetOption(NULL, INTERNET_OPTION_CONTROL_RECEIVE_TIMEOUT, &dwTimeout, sizeof(DWORD));
阅读全文
摘要:本文学习自:关于PE病毒的编写学习(一~六) by yangbostar代码也来源于此,经过一些修改,还不是很完善。如没有添加感染标记,检查感染的文件是否已被感染过。前置病毒,和资源感染类似,资源感染是病毒把宿主程序添加到程序的资源中,替换覆盖原程序,运行时将宿主程序释放成一个临时文件运行。前置病毒...
阅读全文
摘要:本文学习自:关于感染型病毒的那些事(三) by gaa_ra代码也来自gaa_ra资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。进行资源感染后,打开感染文件的过程大致如下:CreateFile创...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题首先看下我们内存加载引擎的流程。1.申请一段大小为dll映射内存后的映像大小的内存空间。2.移动各个区段的数据到申请的内存。2.修复引入表结构的地址表。4.通过...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题那么搜寻节空隙感染,最重要的就是找到我们节中存在的空隙。一般在病毒技术中,有两种方法。循环读取节表,然后分别在每个节中搜寻00机器码(因为默认编译器是用00机...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 今天我们的感染方式是扩展末尾节,因为它很简单、稳定、快捷。那么扩展末尾节顾名思义就是针对被感染对象的最后一个节的扩展。将尾部节的大小扩充,然后将我们的病毒代码...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 1> 变形PE头的原理: 这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题如何编写病毒代码? 首先我把最重要的两个方面列举出来。 1. 处理病毒各个绝对地址的重定位。 2. 所有需调用的api函数地址,均通过动态搜索来获得。 ...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题PE结构的学习原文中用fasm自己构造了一个pe,这里贴一个用masm的,其实是使用WriteFile API将编写的PE数据写成文件~也没啥好说的,PE结构在...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题搜索获得api函数地址的实现我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢?它实际上是采用输出表结构来描述本dll需要导出...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题第一种方法通过线程初始化时,获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。线程在被初始化的时,其堆栈指...
阅读全文
摘要:原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码int g_nTest;__asm{call Dels0...
阅读全文
摘要:转自:[已完工][经典文章翻译]A Crash Course on the Depths of Win32 Structured Exception Handling原文题目: >原文地址: http://www.microsoft.com/msj/0197/Exception/Exception....
阅读全文
摘要:(转载于breaksoftware的csdn博客)之前几篇文章主要介绍和分析了为什么会在DllMain做出一些不当操作导致死锁的原因。本文将总结以前文章的结论,并介绍些DllMain中还有哪些操作会导致死锁等问题。 DllMain的相关特性 首先列出《DllMain中不当操作导致死锁问题的...
阅读全文
摘要:(转载于breaksoftware的csdn博客)之前的几篇文章已经讲解了在DllMain中创建并等待线程导致的死锁的原因。是否还记得,我们分析了半天汇编才知道在线程中的死锁位置。如果对于缺乏调试经验的同学来说,可能发现这个位置有点麻烦。那么本文就介绍几个例子,它们会在线程明显的位置死锁掉。 ...
阅读全文
摘要:(转载于breaksoftware的csdn博客)我们回顾下之前举得例子caseDLL_PROCESS_ATTACH:{printf("DLLDllWithoutDisableThreadLibraryCalls_A:\tProcessattach(tid=%d)\n",tid);HANDLEhTh...
阅读全文
浙公网安备 33010602011771号