摘要： 静态反调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态反调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段 已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则 阅读全文

摘要： 1.teb:线程环境块 重要字段: 以fs:[0]为基址,fs:[0]的值即为teb的地址, 可以将fs理解为指向teb,后面的0是个字节级别的偏移,虽然并不完全正确,但方便记忆 +0x0 *NtTib 是个_NT_TIB 结构 +0x18 *teb==fs:[0] +0x30 *peb _NT_T 阅读全文

摘要： 1.动态tls介绍 windows为每个进程分配一组线程本地存储的标记. 至少有64个标记,如果程序使用超过了64个将动态增长. 这些标记有2种状态: free和inuse. 所有标记的状态对该进程中所有线程都是可见的. 程序中每个线程会对应每个标记一个slot,这个slot是个lpvoid的值 程 阅读全文