Window原理编程学习之路
ATree、063
这个作者很懒,什么都没留下…
展开
-
调试器实现之如何从被调试进程中Dump文件
先说下Dump文件是什么意思,它就是进程的内存镜像,你打开在内存里,它就叫镜像,在磁盘里就叫文件,其实,Dump文件是比较简单的,但是如果不知道相关的函数,自己实现的话,还是有点意思的。下面我说说我的方法,主要是使用了这个API,MiniDumpWriteDump函数是用来Dump小型文件的,一般使用的方法是当程序崩溃的时候自动的创建Minidump。这里我们就要用到一个Kernel32.dl原创 2017-10-06 08:32:27 · 586 阅读 · 0 评论 -
使用汇编代码获取GetProcAddress函数地址的大致步骤(面试题系列)
1、首先通过FS寄存器获取到TEB的地址2、在TEB偏移为0x30处的成员是PEB3、PEB偏移为0xC处的成员是PEB_LDR_DATA结构体指针4、PEB_LDR_DATA结构体偏移为0x1C处成员为InInitializationOrderModuleList,初始化模块链表,这个成员保存的是模块链表的头部地址。5、通过InInitializationOrderModuleL原创 2018-01-23 14:02:29 · 2503 阅读 · 0 评论 -
Win 7系统——进程注入技术之PROPagate(32位和64位均可注入)
本文是根据原创作者文章仔细学习之后编写的,有助于部分想要该项注入技术的人更加深入理解。在文章末尾我会放上原创作者博客链接,我也参考了先知社区的那篇译文,那篇译文翻译的确实不错,我也会放在文章末尾的参考链接中。 这种技术最早在2017年10月出现,Hexacorn公司的安全研究人员Adam发表了一篇文章,详细介绍了一种名为PROPagate的新型进程注入技术。P...原创 2018-12-30 11:54:46 · 1172 阅读 · 0 评论