摘要：PE文件病毒虽然因为传播不及蠕虫已经很少独立存在了,但是仍然有很多病毒把他的感染部分作为一个功能.而且学习PE文件病毒可以让我们对PE的格式更好的了解,而加壳程序的外壳部分也运用到了和PE文件病毒类似的技术,所以还是可以了解下的 我也是刚学习这方面的东西,就把一点点心得写了下来.参考了罗云彬的在下菜鸟一只,望高手指教~ 首先说说PE文件病毒的工作方式．一个PE文件病毒基本上有这几个功能：１）获取kernel32.dll的基地址 ２）通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址，并将他们存放在变量或是栈中，将来所调用的API直接通过CALL 阅读全文

摘要：所谓DLL注入就是将一个DLL放进某个进程的地址空间里，让它成为那个进程的一部分。要实现DLL注入，首先需要打开目标进程。例：hRemoteProcess = OpenProcess(　PROCESS_CREATE_THREAD | //允许远程创建线程 PROCESS_VM_OPERATION　| //允许远程VM操[1]作 PROCESS_VM_WRITE,　//允许远程VM写 FALSE, dwRemoteProcessId ) 由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限（PROCESS_CREATE_THREAD、VM_OPERATION、... 阅读全文