摘要:
实现流程: 1、在具有可执行属性的文件中进行写入相对应的shellcode,写入shellcode的时候需要先查看是否文件对齐和内存对齐一致,如果不一致那需要先转换,如果一致就可以直接在空白的地址上进行填写! 2、填写完shellcode之后,最后的跳转要跳回原程序的入口地址,所以还需要更改跳转到原 阅读全文
posted @ 2020-02-16 16:06
zpchcbd
阅读(1089)
评论(0)
推荐(0)
摘要:
#全局变量有无初始值的区别: 没有初始值:PE文件在文件中的状态的时候不会对该变量的地址进行存储,只有在内存中运行的时候的状态才会进行分配 有初始值:PE文件在文件中的状态的时候会对该变量的地址进行存储 #什么是VA、RVA、FOA VA:英文全称是Virual Address,简称VA,中文意思是 阅读全文
posted @ 2020-02-15 15:51
zpchcbd
阅读(3982)
评论(0)
推荐(2)
摘要:
PE文件头: 分为三部分: 1、PE文件头标识 2、PE文件表头 3、可扩展文件表头 1、PE文件头标识: 没啥好讲的,就4个字节,但是不能修改,作为标识使用! 2、标准文件头:占20个字节,是一个 结构体 关于该结构体中的 成员的每个位上的代表含义如下: 3、可扩展文件表头:在x64系统中占0xF 阅读全文
posted @ 2020-02-15 12:21
zpchcbd
阅读(966)
评论(0)
推荐(0)
摘要:
DOS头部分分为两个部分: 1、DOS MZ头 2、DOS块 1、DOS MZ头是一个 结构体,其大小占64个字节 该结构体是给16位的程序看的,现在的程序都是运行在x32 x64系统上! 但是有两个例外 和 ,这两个成员必须存在 并且不可以改 :WORD类型,操作利用利用这个来进行识别 :LONG 阅读全文
posted @ 2020-02-15 12:20
zpchcbd
阅读(538)
评论(0)
推荐(0)
摘要:
通过https://www.cnblogs.com/zpchcbd/p/12308184.html的介绍 大家也知道了节数据跟节数据之间,都是根据文件对齐存放的 PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态,上篇文章讲的都是硬盘中存放的时候的状态 例如下图: 在文件中我们的对齐是按 阅读全文
posted @ 2020-02-15 10:47
zpchcbd
阅读(389)
评论(0)
推荐(0)
摘要:
介绍:Microsoft连接管理器配置文件安装程序(CMSTP.exe)是用于安装连接管理器服务配置文件的命令行程序。 第一点:CMSTP.exe接受安装信息文件(INF)作为参数,并安装用于远程访问连接的服务配置文件。 相对的应用:攻击者可能会向CMSTP.exe提供感染了恶意命令的INF文件,也 阅读全文
posted @ 2020-02-14 23:27
zpchcbd
阅读(631)
评论(0)
推荐(0)
摘要:
可执行文件:可以由操作系统进行加载执行的文件 在Windows平台中若要程序可执行,必须遵守可执行文件的格式 可执行文件的格式: Windows平台:PE(Portable Executable)文件结构,其中Portable也就是Windows系统中能够跨平台运行 Linux平台:ELF(Exec 阅读全文
posted @ 2020-02-14 17:24
zpchcbd
阅读(1078)
评论(0)
推荐(0)
摘要:
前言:比起ESP寻址的方式,EBP需要去理解下其中的含义,所以记录下! 个人理解: 1、EBP和ESP之间的关系 汇编体现: 阅读全文
posted @ 2020-02-14 14:25
zpchcbd
阅读(958)
评论(0)
推荐(0)
摘要:
1、内存中的堆栈使用是先从 高位的地址 到 低位的地址 使用、存储的。 2、堆栈使用的时候,最后需要进行堆栈平衡,也就是去平衡ESP中寄存器存储的值 3、ESP寄存器中存储的值对应的就是当前堆栈使用的位置 4、如果当前的压入的堆栈数据(不是通过push指令)后面不需要的话,一般就是在sub esp, 阅读全文
posted @ 2020-02-13 17:08
zpchcbd
阅读(905)
评论(0)
推荐(0)
摘要:
比较简单,都作下记录吧! 数据存储存放的位置:寄存器、内存 形式一:立即数 形式二:[寄存器] 形式三:[寄存器+立即数] 形式四:[寄存器+寄存器 {1,2,4,8}] 形式五:[寄存器+寄存器 {1,2,4,8}+立即数] 阅读全文
posted @ 2020-02-13 15:06
zpchcbd
阅读(1406)
评论(0)
推荐(1)
浙公网安备 33010602011771号