随笔分类 -  基础学习

加壳:挂起方式创建进程
摘要:写入部分 1,壳文件新增一个节 2,源文件与Harmonica异或 3,加密后源文件放入新增节中 4,存盘 VOID Shell(WCHAR* shellName, WCHAR* srcName) { FILE* fpShell; FILE* fpSrc; _wfopen_s(&fpShell, s 阅读全文
posted @ 2020-12-12 22:43 Harmonica11 阅读(282) 评论(0) 推荐(0)
内存写入注入
摘要:1,拉伸文件 2,打开进程 3,分配空间 4,修复重定位表 5,修复IAT表 6,写入模块 7,创建远程线程 //内存写入注入 CHAR* SrcBuffer; // CHAR* ImageBuffer; //拉伸后的源文件 DWORD SizeOfImage; DWORD ImageBase; D 阅读全文
posted @ 2020-12-12 22:41 Harmonica11 阅读(708) 评论(0) 推荐(0)
远程线程注入
摘要:1,打开一个进程 2,在进程内分配一块内存 3,把要导入的库名写入空间 4,创建远程线程,以LoadLibrary为线程函数,写入的库名为参数 DWORD Inject(DWORD PID, WCHAR* ModuleName) { HANDLE hProcess = OpenProcess(PRO 阅读全文
posted @ 2020-12-12 22:40 Harmonica11 阅读(273) 评论(0) 推荐(0)
PE学习:导入表注入
摘要:最近深感自己基础不牢,回头学了一遍PE,顺手做了个导入表注入的小练习 首先准备一个DLL用来测试 BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_re 阅读全文
posted @ 2020-10-20 20:20 Harmonica11 阅读(412) 评论(0) 推荐(0)
记手动脱壳
摘要:其实之前也手脱过一些壳,但一直没仔细研究过。。。 #以下方法参考《加密与解密第四版》,程序可在随书文件里找到 EXE 一,寻找OEP 1,根据跨段指令寻找 入口处 在401130处要用ctrl+A重新分析代码 其实这种方法只要f8不跑飞,一直f8就行 2,内存访问断点寻找 通过在.text段下内存访 阅读全文
posted @ 2020-06-07 19:35 Harmonica11 阅读(249) 评论(0) 推荐(0)
开启驱动生涯
摘要:之前一直想搞搞驱动调试,一直没有条件,最近终于实现了 驱动开发环境搭建: vs2019 community :https://visualstudio.microsoft.com/zh-hans/downloads/ wdk:https://go.microsoft.com/fwlink/?link 阅读全文
posted @ 2020-04-06 20:24 Harmonica11 阅读(180) 评论(1) 推荐(0)