上一页 1 2 3 4 5 6 ··· 28 下一页
摘要:PE结构中的地址互转,这次再来系统的复习一下关于PE结构中各种地址的转换方式,最终通过编程来实现自动解析计算,最后将这个功能集成到我的迷你解析器中,本章中使用的工具是上次讲解PE结构文章中制作的CMD迷你结构解析器,如果不知道参数的基本使用请看前一篇。 PE工具的使用与下载:https://www. 阅读全文
posted @ 2020-09-14 21:37 lyshark 阅读(319) 评论(0) 推荐(0) 编辑
摘要:PE文件就是我们常说的EXE可执行文件,针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的,前提是要有特征库,PE特征识别有多种形式,第一种是静态识别,此方法就是只针对磁盘中文件的特征码字段进行检测来判断编译器版本,此种方式优点是快,缺点是识别不准确,第二种则是动态识别,当程序被装入内存 阅读全文
posted @ 2020-09-14 14:14 lyshark 阅读(544) 评论(0) 推荐(0) 编辑
摘要:多线程中的线程同步可以使用,CreateThread,CreateMutex 互斥锁实现线程同步,通过临界区实现线程同步,Semaphore 基于信号实现线程同步,CreateEvent 事件对象的同步,以及线程函数传递单一参数与多个参数的实现方式。 CreateThread 实现多线程: 先来创建 阅读全文
posted @ 2020-09-14 11:19 lyshark 阅读(332) 评论(0) 推荐(0) 编辑
摘要:算术运算通常是指,加减乘除四则运算,而计算机中的四则运算与数学中的有所不同,同样是实现算术运算,高级语言与汇编语言的实现思路完全不同,往往一个简单的减法运算,都要几条指令的配合才能得出计算结果,而为了保证程序的高效率,编译器会对其进行最大限度地优化,这就涉及到汇编代码的逆推,如下笔记则是整理的逆推常 阅读全文
posted @ 2020-09-12 22:12 lyshark 阅读(166) 评论(0) 推荐(0) 编辑
摘要:前面的那一篇文章中所使用的技术只能有效抵抗解密者直接修改硬盘文件,当我们使用动态补丁的时候,那么内存中同样不存在校验效果,也就无法抵御对方动态修改机器码了,为了防止解密者直接对内存打补丁,我们需要在硬盘校验的基础上,增加内存校验,防止动态补丁的运用。 仅对.text代码段进行校验: 通常程序中至少包 阅读全文
posted @ 2020-09-12 16:57 lyshark 阅读(202) 评论(0) 推荐(0) 编辑
摘要:当软件被开发出来时,为了增加软件的安全性,防止被破解,通常情况下都会对自身内存或磁盘文件进行完整性检查,以防止解密者修改程序,我们可以将exe与dll文件同时做校验,来达到相互认证的目的,解密者想要破解则比较麻烦,当我们使用的互认证越多时,解密者处理的难度也就越大。 实现磁盘文件检测,我们可以使用C 阅读全文
posted @ 2020-09-12 12:58 lyshark 阅读(247) 评论(0) 推荐(0) 编辑
摘要:今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征 阅读全文
posted @ 2020-09-11 23:18 lyshark 阅读(213) 评论(0) 推荐(0) 编辑
摘要:在上面的各种Hook挂钩方式中,我们都是在手写封装代码,但这样的方式并不高效,真正的生产环境中我们必须使用现成的Hook库,常用的Hook库有免费开源的MinHook和商业的Detours Hook,这里我们就选择介绍MinHook这个迷你函数库,该Hook库是完全开源免费的,使用起来也非常的简单. 阅读全文
posted @ 2020-09-11 18:57 lyshark 阅读(238) 评论(0) 推荐(0) 编辑
摘要:Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持. 接着来研究一下64位程序的Hook,6 阅读全文
posted @ 2020-09-11 18:53 lyshark 阅读(205) 评论(0) 推荐(0) 编辑
摘要:Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持. HOOK技术的实现方法比较多,常见的H 阅读全文
posted @ 2020-09-11 12:15 lyshark 阅读(130) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 28 下一页