- 博客(6)
- 收藏
- 关注
RSS订阅原创 GreenHandX1h 4.5 代码阅读①
经过一番挣扎之后我决定开始重新把代码读一遍写一个完美一点的注释BOOL IsPeFile(LPVOID ImageBase)//这里我们收取一个PE文件 //判断是否是PE文件结构//首先检验文件头部的第一个字是否是PRIMAGE_DOS_SIGNATURE//然后定位PE头,如果PE头符合IMAGE_NT_SIGNATURE则可以判断是有效的PE文件//经过检验没有任何问题{
2016-04-06 19:45:31
311
原创 GreenHandX1h 2016.4.5 (第一章告一段落)
我们不得不对前几天的学习告一段落了至于问起来为什么我想大概应该是往后的学习对于我目前的WinPE病毒的学习毫无用处了。 我从网上档下来的代码中主要的难点在于如何判断这个文件是否是个pe文件,如何定位,如何把我们想插得代码插进去等。 往后的输入输出啊等等等等的表啊什么的学习在我搞定了这个毕设之后在重新马文吧。每天的不停不停不停的努力才能把我想学的学会,相信我这个脑子一定没问题!虽然写的东西很low
2016-04-05 20:33:37
181
原创 GreenHandX1h 2016.4.5 (3) (✵节表✵)
我们最最最最最厉害并且最重要的部分来了,那么就是节表跟节了我们的PE程序主要就是由一个一个节组成的,那我们就用节表来定义了各个Section的属性跟偏移位置。那么我们所需要的节表就来了。Section表紧跟在NT头的PE可选头后面。 我们来分析一下他的各个变量 1. Name1:块名,一般以.开始命名,应该仅此而已了 2. Misc.VirtualSize (到现在我都没弄明白啥是misc
2016-04-05 20:16:15
233
原创 GreenHandX1h 2016.4.5 (2)(✵ 导出表等数据表✵)(可改)
导出表的学习这个东西呢,整体而言我还没有接触过所以不知道是干嘛的,但是我把我对于这个东西的大体理解稍微写一下,等到用到的时候我回头来看看可以再进行修饰修改。首先什么叫做导出表,比如说我们在PE程序中用到一个函数,这个函数需要被我们动态引用,那么我们就需要把他们导出,导出之后呢我们为了方便去查找他们,所以我们就用了导出表这么个东西来方便我们去把这些导出的函数放在一个被记录的位置,导出表记录了他的RVA
2016-04-05 19:20:11
214
原创 GreenHandX1h 2016.4.5 (✵NT头✵)(1)
2016年4月5日X1h关于NT头的详细了解文章开始嘻嘻嘻-0-首先DOS头结束之后我们顺着DOS头中的e_lfanew可以找到NT头开始的部分。(e_lfanew用来表示DOS头后面NT头相对文件起始地址的偏移) 那么我们就找到了NT头,找到之后我们都能获得哪些信息呢?以下就是NT头的结构 typedef struct _IMAGE_NT_HEADERS { DWORD
2016-04-05 18:21:37
264
原创 GreenHandX1h 4.1 questions
4.1上午问题记录今天上午我主要巩固了一下昨天学到的知识,有如下几个知识点进行了进一步的了解加深va与rva的定义问题在硬盘存储当中,与加载到内存中,其占用的地址空间大小的区别。什么叫做重定位(即指定的基地址被其他PE程序或者是DLL占用后,重新寻找VA,这样就避免了冲突,这样的功能我们称它为重定位)4.1下午我将进行对于文件头的具体研究
2016-04-01 10:24:42
352
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人