摘要:
“INT3”断点指令的机器码是 “0xcch” 检测思路,取函数地址,判断第一个字节是不是 “CCh” BYTE bFirst = 0; ProcAddres = GetProcAddress(LoadLibrary("user32.dll","MessageBox")); bFirst = *(( 阅读全文
posted @ 2016-02-27 21:26
dozeoo
阅读(401)
评论(0)
推荐(0)
摘要:
1.FS寄存器 2.进入FS寄存器地址,7FFDD000 3.偏移30为PED结构 4.偏移地址10 3C,44偏移:路径地址,命令行地址 // 通过PEB结构去查找所有进程模块 void *PEB = NULL; void *Pbi = { NULL }; // fs:[30]就是PEB __as 阅读全文
posted @ 2016-02-27 19:49
dozeoo
阅读(631)
评论(0)
推荐(0)
浙公网安备 33010602011771号