摘要： 1.调试DebugMe3.exe,学习PE映像切换技术的具体工作原理 由于CreateProcess()和ResumeThread()API的行为动作非常明确，所以我们只需要跟进三个子函数进行跟踪分析 0x1：SunFunc_1（）： 0x2：CreateProcess("fake.exe",CRE 阅读全文

摘要： 1.前言 程序以父进程形式运行和以子进程形式运行分别有不同的行为动作时，自我创建技术才有实际意义。也就是说，借助该技术使得同一可执行文件存在2种执行路径。 2.工作原理 3.疑问 4.调试练习 方法一：JIT调试 方法二：EP地址设置无限循环 阅读全文

摘要： 1.垃圾代码 2.扰乱代码对齐 0041510F处JMP EBX跳转到00415117处，但是00415117处的反汇编代码未能正常显示 3.加密 / 解密 40B000~40B00E在进行解码循环，用来对40B010以后的代码进行解码 书中还有含有垃圾代码的实例 特殊情况： 4.Stolen Co 阅读全文

摘要：  阅读全文

摘要： 我们先来看看回调的英文定义：我们先来看看回调的英文定义： A callback is a function that is passed as an argument to another function and is executed after its parent function has 阅读全文