摘要： 前几天和朋友交流技术，提到手工打造微型PE文件，他说现在网上流传的大部分版本在XP SP3下都不能运行，于是心血来潮，拍着胸脯说：“你放心，忙完了帮你做一个。”后来花了半天时间，终于打造出一个XP下可运行的微型PE，弹出一个对话框，292字节，当然这离极限也许还差得远，不过自己做了一次，还是有些心得... 阅读全文

摘要： PE文件是以64字节的DOS文件头开始的（IMAGE_DOS_HEADER)，接着是一段小DOS程序，然后是248字节的NT文件头（IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出！NT文件头的前4个字节是文件签名（“PE00"字符串），紧... 阅读全文

摘要： 我们有知道Immunity Debugger，OD调试器，在调试程序时会设断在OEP(修改第一个字节0xcc)。我在想，使用什么编程技术，代码可以在OEP前被执行。在网上找了些资料，在论坛上看到许多大牛，使用静态TLS做了好多有趣的事，今天自己也来终结下，，呵呵1. 什么是TLS？TLS是Threa... 阅读全文

摘要： VC中GetLastError()获取错误信息的使用在VC中编写应用程序时，经常需要涉及到错误处理问题。许多函数调用只用TRUE和FALSE来表明函数的运行结果。一旦出现错误，MSDN中往往会指出请用GetLastError()函数来获得错误原因。可问题是，GetLastError()返回的只是一个... 阅读全文

摘要： 一、PE结构基础看了很多PE结构类的东东，要不上来就是整体结构，要不就是一大堆ASM代码，看的我等菜鸟有点难受！所以自己写个帖·学习PE我们先来弄懂几个问题!1:几个地址的概念VA:虚拟地址，也就是内存中的地址！RVA:相对虚拟地址，等于VA-ImageBaseOffset:物理地址，磁盘上文件的地... 阅读全文

摘要： 自从知道dedecms自带了80sec的内置Mysqlids后，一直以来也没有想到绕过的办法。或者是自己mysql的根底太差了吧。于是分析dedecms源码时，只找模板执行，本地包含，上传等，完全没有想到注入存在的可能性了。 可以看看某牛的很久以前的分析http://www.oldjun.com/b... 阅读全文

摘要： PE：Portable Executable File Format（可移植的执行体）。Windows平台主流可执行文件格式。.exe与.dll文件都是PE格式。32位的叫做PE32,64位的叫做PE32+。PE文件格式定义在winnt.h头文件中。PE文件格式总览：PE文件使用的是一个平面地址空间... 阅读全文

摘要： 能实现基本的信息获取区段信息数据目录信息导入表函数分析导出表函数分析，能同时解析只序号导出和以函数名序号同时导出的函数FLC计算需要源码的可以留邮箱。 阅读全文

摘要： 1.实例1国外的人写的最小的PE文件--97Bytes4D5A0000504500004C0101006A2A58C30000000000000000040003010B0108000400000000000000040000000C000000040000000C00000000004000040... 阅读全文

摘要： （注：最左边是文件头的偏移量。） IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp // Bytes on la... 阅读全文