摘要： 《恶意代码分析实战》 附录 A accept用来监听入站网络连接，这个函数预示着程序会在一个套接字上监听入站网络连接。AdjustTokenPrivileges用来启用或禁用特定的访问权限。执行进程注入的恶意代码经常会调用这个函数，来取得额外的权限。AttachThreadInput将一个线程处理的 阅读全文

摘要： 思路 进程EPROCESS结构体中含有进程名ImageFileName（需求处ImageFileName在EPROCESS结构体中的相对偏移）——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS 阅读全文

摘要： 加壳加壳的主要目的是压缩大小和阻碍分析。加壳以后的可执行文件会将原来的可执行文件作为数据存储。通过加密和一些反逆向技术（对抗反汇编？，反调试，反虚拟化等等）来让程序难以分析。 脱壳存根被加壳程序中的脱壳存根由操作系统加载，然后它负责加载原始程序。固可执行程序的入口点指向脱壳存根。对程序进行静态分析需 阅读全文

摘要： rewolf-wow64ext的目的就是让运行在Wow64环境中的x86应用程序可以直接调用x64下ntdll.dll中的Native API。 学习中可以得到几个结论 在X64环境下的进程，32位程序，映射了两个地址空间，一个32位，一个64位。而且这两种工作模式是可以切换的的。 WOW64进程中 阅读全文

摘要： 学习开源代码ReflectiveDLLInjection时做的一些思路总结。 阅读全文

摘要： ret指令， 执行过程 ret指令用栈中的数据，修改IP的值，从而实现近转移。 CPU执行ret指令时，进行下面两步操作： (IP)=((SS)*16+(SP)) (SP)=(SP)+2; 另一种用法 ret n (n为整数) 等效于 (IP)=((SS)*16+(SP)) (SP)=(SP)+2; 阅读全文

摘要： EXCEPTION_EXECUTE_HANDLER (1) 异常已经被识别，也即当前的这个异常错误，系统已经找到了并能够确认，这个__except模块就是正确的异常处理模块。控制流将进入到__except模块中，当except代码块运行结束后，系统会认为异常已经处理，于是允许应用程序继续执行。 全局 阅读全文

摘要： IsDebuggerPresent() 该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 在x86下用windbg查看PEB结构 可知在PEB（进程环境块）偏移0x002处获得BeingDebugged PEB（进程 阅读全文

摘要： 数组个数#ifndef ARRAYSIZE #define ARRAYSIZE(A) (sizeof(A)/sizeof((A)[0]))#endif 获得结构体首地址#define CONTAINING_RECORD(address, type, field) ((type *)( \ (PCHA 阅读全文

摘要： 反调试 <!--[if !supportLists]-->1. <!--[endif]-->IsDebuggerPresent() 该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 BOOL APIENTRY IsDebuggerPresent(VOID) { 阅读全文