(okwary) 小叹的学习园地

与天斗?不够高~ 与地斗?不够阔 与人斗? 脸皮不够厚
  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
上一页 1 2

2008年12月21日

汇编语言代码重定位
摘要: 远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)中正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。 在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成; 如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 实际上我们做的工作就是windows加载时要做的工作,代码如果通过windows来加载完成,那么相对偏移就会被windows重定位,与绝对地址的差值为0. 但是如果是手工加载,那么这个差值就与加载地址密切相关了. 阅读全文
posted @ 2008-12-21 12:13 okwary 阅读(2963) 评论(0) 推荐(0)

2008年12月20日

WinAPI【远程注入】hook注入 Delphi 实例一
摘要: (okwary) 小叹的学习园地 线程注入实例: 我们知道在NT及以上操作系统提供了一个函数VirtualAllocEx,利用这个函数我们可以在其它进程中申请一块内存,其定义如下: function VirtualAllocEx( //在其它进程中申请一块内存 hProcess: THandle;// hProcess为要申请内存的进程的句柄 lpAddress: Pointer;// l... 阅读全文
posted @ 2008-12-20 21:41 okwary 阅读(1064) 评论(0) 推荐(0)

WinAPI【注入常用API】
摘要: (okwary) 小叹的学习园地 FindWindow FindWindow函数返回与指定字符创相匹配的窗口类名或窗口名的最顶层窗口的窗口句柄。这个函数不会查找子窗口。 函数原型: HWND FindWindow(LPCTSTR lpClassName,LPCTSTR lpWindowName ); 参数表: lpClassName: 指向一个以null结尾的、用来... 阅读全文
posted @ 2008-12-20 15:18 okwary 阅读(805) 评论(0) 推荐(0)

远程注入利用远程线程直接注入
摘要: 利用远程线程无DLL直接注入 (okwary) 小叹的学习园地 注入代码到其他进程地址空间的方法是使用WriteProcessMemory API。这次你不用编写一个独立的DLL而是直接复制你的代码到远程进程。 让我们看一下CreateRemoteThread的声明和CreateThread相比,有以下不同: ●增加了hProcess参数。这是要在其中创建线程的进程的句柄。 ●Crea... 阅读全文
posted @ 2008-12-20 12:04 okwary 阅读(941) 评论(0) 推荐(0)

2008年12月19日

远程注入利用远程线程注入DLL
摘要: CreateRemoteThread 和 LoadLibrary 技术: 通常,任何进程都可以通过LoadLibrary动态地加载DLL,但是我们如何强制一个外部进程调用该函数呢?答案是CreateRemoteThread。 让我们先来看看LoadLibrary和FreeLibrary的函数声明: HINSTANCE LoadLibrary( LPCTSTR lpLibFileName //... 阅读全文
posted @ 2008-12-19 22:31 okwary 阅读(1409) 评论(0) 推荐(0)

WinAPI【光标函数】(CreateCaret,DestroyCaret,ShowCaret ,HideCaret ,SetCaretPos,GetCaretPos,SetCaretBlinkTime,GetCaretBlinkTime)
摘要: WinAPI: 输入光标相关的函数 CreateCaret {建立} DestroyCaret {释放} ShowCaret {显示} HideCaret {隐藏} SetCaretPos {设置位置} GetCaretPos {获取位置} SetCaretBlinkTime {设置间隔时间}... 阅读全文
posted @ 2008-12-19 16:27 okwary 阅读(1510) 评论(0) 推荐(0)

2008年12月18日

汇编语言CPU寄存器的功能和说明
摘要: CPU寄存器的功能和说明: 通用寄存器 4个 EAX、EBX、ECX和EDX 32位 段寄存器 6个 ES、CS、SS、DS、FS和GS 变址寄存器 2个 ESI和EDI 32位 堆栈寄存器 2个 ESP和EBP 32位 指令指针寄存器 1 EIP 32位 状态标志寄存器 1 EFlags 32位 控制寄存器 CR0-CR4 调试寄存器 DR0-... 阅读全文
posted @ 2008-12-18 01:45 okwary 阅读(672) 评论(0) 推荐(0)

2008年12月17日

Kernel32基址的几种获取方法
摘要: 《Delphi实现无导入表程序》初学编程,请勿奸笑:P首先感谢,一些认识不认识的前辈高人的资料.谢谢~前提假设您已经有了一定的PE Virus的知识.好了~先简单的说说无导入表程序的几点基本的构成1.GetkernelBase(获取kernel32.dll的基址)由于我们是无导入表的程序所以,所有API函数都是依靠内存搜索完成的,想必大家已经知道EXE载入到内存中ESP保存ExitThread函数... 阅读全文
posted @ 2008-12-17 03:29 okwary 阅读(1263) 评论(0) 推荐(0)

WinAPIAPI归类
摘要: Windows应用程序接口(Windows API),是微软对于Windows操作系统中可用的内核应用程序编程接口的称法。 它设计为由C/C++程序调用,而且它也是应用软件与Windows系统最直接的交互方式。而大多数驱动程序所需要的对Windows系统的更底层次访问接口,由所用版本的Windows的Native API来提供接口。 阅读全文
posted @ 2008-12-17 02:35 okwary 阅读(583) 评论(0) 推荐(0)

2008年12月16日

DELPHI基础教程
摘要: Delphi是著名的Borland(现在已和Inprise合并)公司开发的可视化软件开发工具。“真正的程序员用C,聪明的程序员用Delphi”,这句话是对Delphi最经典、最实在的描述。Delphi被称为第四代编程语言,它具有简单、高效、功能强大的特点。和VC相比,Delphi更简单、更易于掌握,而在功能上却丝毫不逊色;和VB相比,Delphi则功能更强大、更实用。可以说Delphi同时兼备了VC功能强大和VB简单易学的特点。它一直是程序员至爱的编程工具。 阅读全文
posted @ 2008-12-16 03:01 okwary 阅读(1053) 评论(0) 推荐(0)

上一页 1 2
ggg