2012年01月_W1nds

10月 07月 03月 02月 01月

原创关于ImageRvaToVa与SEC_IMAGE的一些东东

hMapping=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,NULL);第三个参数或上了SEC_IMAGE，指定该属性相当于告诉系统要映射文件的映像并给页面设置相应的保护属性，具体见核心编程P456。我在写PE加载器的时候发现该参数与ImageRvaToVa函数有冲突！！！！具体ImageRvaToVa是怎么实现的微软没公开，大体逆了一下

2012-01-31 23:10:45 4126 5

原创 PE结构导出表详细解析

只码重点DLL导出方式：按名称导出：1.__declspec(dllexport) 2.LIBRARY DLLEXPORTS FuncDll 按序号导出：LIBRARY DLLEXPORTS FuncDll @ 1 NONAME 按名称和序号导出：LIBRARY DLLEXPORTS fnDll1 @ 1 NONAM

2012-01-27 23:31:49 16087 1

原创手动构造PE文件

很早以前就拜读了A1Pass得手工构造PE文件一文，可是一直没有去动手实践下，寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼今天就参考该文来自己手动构造一个。这里先提个问题，WinMain函数是符合_stdcall调用约定的，我们都知道winmain接收四个参数，这四个参数的堆栈是有谁来清理呢？理论上应该是系统吧，但是调试程序最后总会发现个0040

2012-01-13 18:24:40 2353

加壳引导程序

2012-03-03

加壳程序代码

一个加壳代码框架

2012-03-03

隐藏保护进程源码

一个通过HOOK SSDT来隐藏进程和保护进程的源码，值得菜鸟一看，很多可以拿来重用的东西

2011-10-18

脱壳的艺术--doc

脱壳是门艺术——脱壳既是一种心理挑战，同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧，逆向分析人员有时不得不了解操作系统的一些底层知识，聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者，也牵涉到那些决心躲过这些保护的脱壳者。

2010-07-01

逆向c++，PDF格式

这些年来，逆向工程分析人员一直是凭借着汇编和 C 的知识对大多数软件进行逆向工程的，但是，现在随着越来越多的应用程序和恶意软件转而使用 C++语言进行开发，深入理解 C++ 面向对象方式开发的软件的反汇编技术就显得越发的必要。本文试图通过分析在反汇编时如何手工识别 C++对象，进而讨论如何自动完成这一分析过程最终介绍我们自己开发的自动化工具，一步一步的帮助读者掌握逆向 C++程序的一些方法。

2009-10-05

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

原创 关于ImageRvaToVa与SEC_IMAGE的一些东东