摘要:载入HelloWorld.exe之后我们看看加载了哪些模块: 查看一下堆栈: 都是ntdll中的函数,我们想要运行到HelloWorld.exe的main函数中停下。 这么办: 使用!dh命令。 帮助文档中给出!dh的解释如下: The !dh extension displays the head
阅读全文
posted @ 2018-11-09 17:24
随笔分类 - PE
摘要:Common Sections The .text section is where all general-purpose code emitted by the compiler or assembler ends up. Since PE files run in 32-bit mode an
阅读全文
posted @ 2018-11-09 17:18
摘要:恢复内容开始 The format of an operating system's executable file is in many ways a mirror of the operating system. Winnt.h是一个非常重要的头文件,其中定义了大部分windows下的内部结构。
阅读全文
posted @ 2018-11-09 17:17
摘要:什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我
阅读全文
posted @ 2018-11-09 14:44
摘要:请问如何将偏移量转换为地址? 我在使用软件定位木马特征码的时候,只得到偏移量,为什么有的人用OD转到偏移量,但我用OD的时候,显示没有这个偏移量的,请问如何将偏移量转换为地址? 在DFCG回答过,再转过来吧。+ + + + + + +| 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 |+ +
阅读全文
posted @ 2018-11-08 21:04
浙公网安备 33010602011771号