LYSHARK

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置，就是真正的PE文件头的位置，该文件头是由`IMAGE_NT_HEADERS`结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。 阅读全文

摘要： 在正常情况下，要想使用`GetProcAddress`函数，需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址，接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址，但在有时这个函数会被保护起来，导致我们无法直接调用该函数获取到特定函数的内存地址，此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数，该功能的实现需要依赖于`PEB`线程环境块，通过线程环境块可遍历出`kernel32.dll`模块的入口地址，接着就可以在该模块中寻找`GetProcAddress`函数入口地址，当找到该入口地址后即可直接调用实现动态定位功能。 阅读全文

摘要： PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等，本次的目标是手工修改或增加节区，并给特定可执行程序插入一段`ShellCode`代码，实现程序运行自动反弹一个Shell会话。 阅读全文