02 条件语句静态分析
摘要:
(很久以前的学习记录,放到博客上来) 逆向一个简单的exe文件。运行起来只有一个简单的对话框,显示出“Hello! Windows” 把exe拖到WinHex中看二进制了(或者说是16进制)。看到几个应该是关键的地方:PE文件的DOS_header的MZ(4a5d)标志没啥好说的。发现了一个C盘下的 阅读全文
posted @ 2017-11-19 10:36 沉疴 阅读(354) 评论(0) 推荐(0)
2017年11月19日 #
01 病毒的自启动行为
摘要:
(很久以前的学习记录,放到博客上来) 从github上下载了个exe来学习,下载在了F盘,exe运行,如图一下就被360 safe 截住了,我给它放行了。 直接到C盘下的Startup目录下了,想要开机自启动。这时候用Procmon查看进程信息,哗啦啦起来一大片: 先是ngen.exe在RegQue 阅读全文
posted @ 2017-11-19 10:26 沉疴 阅读(332) 评论(0) 推荐(0)
2017年11月17日 #
const & define & inline
摘要:
0x01 const & define区别 宏定义#define发生在预编译期,而const,enum定义的常量发生在编译期,两者的重要差别在于编译期里的变量是进符号表的,而预编译期的宏是简单的替换,不进符号表。 宏#define没有数据类型,只是用来做文本替换,存在于程序的代码段,是一个Compi 阅读全文
posted @ 2017-11-17 14:35 沉疴 阅读(178) 评论(0) 推荐(0)
static作用
摘要:
存储在静态数据区的变量会在程序刚开始运行时就完成初始化,也是唯一的一次初始化。共有两种变量存储在静态存储区:全局变量和static变量。 0x01 (普通)全局变量与静态全局变量 (隐藏) 未加static前缀的全局变量和函数都具有全局可见性,其它的源文件也能访问,全局变量名或者函数名前加stati 阅读全文
posted @ 2017-11-17 13:56 沉疴 阅读(6037) 评论(0) 推荐(0)
2017年11月13日 #
minidebug学习分析 01 基本框架
摘要:
0x01 基本框架 基本框架就是CreateProcess启动目标程序,再通过调试事件DEBUG_EVENT在调试循环中监控程序的行为。 (1)CreatProcess 双击一个EXE可执行文件时,Windows内核也就会自动调用CreatProcess 函数创建我们双击的文件所对应的进程。 Cre 阅读全文
posted @ 2017-11-13 16:35 沉疴 阅读(477) 评论(0) 推荐(0)
2017年11月12日 #
注册表操作
摘要:
0x01 简介 注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明 阅读全文
posted @ 2017-11-12 13:15 沉疴 阅读(507) 评论(0) 推荐(0)
2017年11月8日 #
反射Dll注入分析
摘要:
(源码作者:(HarmanySecurity)Stephen Fewer) 0x01 反射Dll注入的优点 1.反射Dll注入的主要优点是它没有以主机系统的任何方式(例如LoadLibrary和LoadLibraryEx)进行注册,因此在系统和进程级别上基本上都是不可检测的,并且反射DLL注入写入了 阅读全文
posted @ 2017-11-08 23:05 沉疴 阅读(1337) 评论(0) 推荐(0)
栈回溯简单实现(x86)
摘要:
0x01 栈简介 首先局部变量的分配释放是通过调整栈指针实现的,栈为函数调用和定义局部变量提供了一块简单易用的空间,定义在栈上的变量不必考虑内存申请和释放。只要调整栈指针就可以分配和释放内存。 每个函数在栈中使用的区域叫做栈帧Stack Frame,在X86中,通常使用EBP寄存器作为帧指针使用,E 阅读全文
posted @ 2017-11-08 16:41 沉疴 阅读(1660) 评论(0) 推荐(0)
2017年10月30日 #
PE文件 03 重定位表
摘要:
0x01 重定位表结构 重定位表是由数据目录表中的第六个成员指出的: 程序编译时每个模块有一个优先加载地址ImageBase,这个值是链接器给出的,因此链接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的,那么一旦程序没有将模块加载到ImageBase时,那么程序中的指令地址 阅读全文
posted @ 2017-10-30 16:42 沉疴 阅读(683) 评论(0) 推荐(0)
PE文件 02 导出表
摘要:
0x01 导出表结构 导出表是由数据目录表中的第一个成员DataDirectory[0]指出的: 导出表就是记载着动态链接库的一些导出信息。通过导出表,DLL 文件可以向系统提供导出函数的名称、序号和入口地址等信息,比便Windows 加载器通过这些信息来完成动态连接的整个过程。扩展名为.exe 的 阅读全文
posted @ 2017-10-30 15:25 沉疴 阅读(279) 评论(0) 推荐(0)
浙公网安备 33010602011771号