摘要：最近逆了一下WannaCry病毒，发现里边加载动态库是自己实现的，所以我也学着实现了一下。 0x001 读取动态库到内存 首先，需要将目标动态库读取的到内存，然后再进行下一步工作。 0x002 在目标加载地址处申请内存空间 实现LoadLirbrary其实就是将Dll文件由文件格式映射为内存格式，我 阅读全文

摘要：最近看了《逆向工程核心原理》，其中第25.4节讲了更改PE文件让目标文件加载我们的动态库。现在做一下完整介绍。 PE文件的导入DLL信息存储在IDT中，于是我们只需将DLL加到目标PE文件的IDT中，这时我们得先看一下IDT的空间大小。 1.查看IDT: 首先用PEView查看目标程序，看IMPOR 阅读全文

摘要：参考书籍：《WindowsPE文件权威指南》 MSDN中winnt.h是PE文件定义的最终决定者。 EXE文件与DLL文件之间的区别完全是语义上的，二者PE结构完全相同。唯一区别用一个字段标示处这个文件是exe还是dll。许多DLL扩展，如OCX控件，控制面板等都是DLL，它们有一样的实体。 64位 阅读全文