ciyze0101 - 博客园

通过TLS回调函数的反调试

摘要：下面是TLS数据结构的定义 AddressOfCallBacks是一个数组，表示可以有多个TLS回调函数，所谓的TLS回调函数，就是当创建/终止进程的线程时会自动调用的执行的函数。创建进程的主线程也会自动调用回调函数，且其调用执行先于EP代码，反调试技术利用的就是TLS回调函数这一特性。回调函数阅读全文

posted @ 2016-02-24 13:42 ciyze0101 阅读(999) 评论(0) 推荐(0) 编辑

Windows x64位通过PEB获得Kernel32基地址

摘要：在64位系统下 gs:[0x30] 指向TEB gs:[0x60] 指向PEB 这里用内联汇编获得PEB基地址声明之后即可调用该函数获得PEB地址，关于内联汇编的使用请自行百度下面在看PEB结构将结构都列举出来了之后，下面就是通过PEB和看到的偏移获取到模块基地址。第一个是Ntdll，第二个阅读全文

posted @ 2016-02-08 17:59 ciyze0101 阅读(3146) 评论(0) 推荐(0) 编辑

SEH结构

摘要：首先有几点问题 1.在后文中看到的PE的节中的配置信息表Load configuration是对SEH回调函数的注册，那么Exception Table是加载的什么信息。 2.什么时候走进系统异常，什么时候走进自己注册的异常回调函数。摘自《加密与解密》和《Windows PE权威指南》 0x01 阅读全文

posted @ 2016-01-04 19:17 ciyze0101 阅读(1073) 评论(0) 推荐(0) 编辑

通过TLS回调函数的反调试

Windows x64位通过PEB获得Kernel32基地址

SEH结构

导航

公告