摘要：当前进程空间的用户地址空间布局大概如下： 1.进程参数 2.进程堆 3.进程载入的模块，就是为执行当前进程需要的外部引用和当前进程数据本身 这里需要注意的一点，假如存在一个PE文件，名称为A.EXE，其中需要使用外部引用B.DLL和C.DLL，那么系统加载器将先按照在A中引用B和C的顺序先加载B和C，并把对A的加载紧跟在B和C之后。例如，假设A中引用B和C的顺序为C、B，那么最后的地址空间中模块区的内容分别是：C的.text、C的.data、B的.text、B的.data、A的.text和A的.data 4.进程PEB，即进程环境块 5.线程堆栈及线程TEB，即线程环境块 阅读全文

摘要：关于开发系统后门软件的几点思路 作者：Delphiscn（cnBlaster#sohu.com）http://blog.csdn.net/Delphiscn 注释：这只是一篇临时的学习笔记 目录 1、前言 2、系统加载 3、文件关联 4、攻击控制 5、文件隐匿 6、附言 前言 现在的系统后门软件数不胜数，但大都有一个通病，就是系统加载方面很容易被精明的老鸟们察觉。而且遇上类似“天网”或是“金... 阅读全文