摘要：特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。 我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取 阅读全文

摘要：SEH链和展开操作每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存在一个全局性的筛选器,再者如果进程被调试,调试器进程也相当于一个异常处理的程序存在.那么当一个异常发生的时候,系统究竟该听谁的呢?在这种情况下,系统按一定的步骤选择一个回调函数并执行他,如果这 阅读全文

摘要：动太链接库可以被所有的进程调用,如果不是动态链接库就只能被当前的进程调用.首先在DLL中会有一个SetHookWindowEx函数它会设置一个全局的的钩子和当前所有的线程相关联.如果此时有一个进程中的一个线程给系统发送了消息,操作系统就会去检查这个线程是否已经安装了钩子过程,如果说发现安装了全局钩子过程,于是就会找到包含了这个钩子过程的动态链接库.将这个动态链接库映射到这个进程的地址空间当中。然后再调用钩子过程函数。将系统消息传给动态链接库中定义的钩子过程函数。 阅读全文

摘要：看罗云彬的win32汇编，看到搜索kernel32.dll基址问题的时候，有点小问题，书上说：主程序从堆栈得到的返回地址，将其作为参数传递过来，然后按64k对齐，也就是与0ffff0000h进行and操作，然后按页搜索时，递减10000h！为什么按64k对齐呢?咋不按内存中一页大小对齐呢？还有为啥要递减10000h呢?纳闷啊。。。于是百度+google,老费劲地找到答案了。。。请看这段话！“对于加载到程序中的模块,基址都是对齐的,你自己可以用调试器看一下,程序中各个模块包括dll和程序本身,加载进去的基址十六进制末四位都是0,也就是0xxxx0000H,也就是PE头会出现在这些地址附近,所以减 阅读全文