摘要：控制台程序X86：EP入口处CPU Disasm地址 HEX 数据 指令 注释00401604 |> \C745 FC FEFFF mov dword ptr [ebp-4], -20040160B |. 8B45 E0 mov eax, dword ptr [ebp-20]0040160E |> ... 阅读全文

摘要：1，打开文本记事本【这里必须是32位的文本记事本程序】，因为目前的OD无法调试64位程序。。。2，打开之后，用OD附加，按F9运行，因为本实例是用远程注入线程的模式启动注入代码的，所以断一下线程加载。选项-》调试设置-》事件-》中断于新线程3，打开cmd控制台，CD到文件夹路径，输入程序.exe p... 阅读全文

摘要：注入的机器码是用汇编编译器生成的，与C语言相比，更灵活自由。以前用过一阵MASM，而这本书上是用OD地汇编功能，倒是第一次见过。。。汗，又发现一个没掌握的OD功能。先上传四张图，前三张是注入代码的三种不同形式的呈现：第一张是反汇编指令形式的图第二张是经CTRL+A分析过后的反汇编指令，1033，10... 阅读全文

摘要：流程：修改可选头里的IMPORT表，添加DLL名及起码一个DLL的导出函数名要点：RAW【文件偏移地址】=RVA【内存偏移地址】-VirtualAdress【内存中的节区起始位置】+PointerToRawData【文件中的节区起始位置】相关结构typedefstruct_IMAGE_IMPORT_... 阅读全文