摘要： 1.调试DebugMe3.exe,学习PE映像切换技术的具体工作原理 由于CreateProcess()和ResumeThread()API的行为动作非常明确，所以我们只需要跟进三个子函数进行跟踪分析 0x1：SunFunc_1（）： 0x2：CreateProcess("fake.exe",CRE 阅读全文