源码学习
gzfqh
这个作者很懒,什么都没留下…
展开
-
PE文件加载到内存的主要步骤
1 当PE文件被执行,PE加载器会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载器会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载器读取节表中的信息,然后采用内存文件映射的方法将这些节映射到内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射到内存后,P原创 2005-04-16 01:10:00 · 7784 阅读 · 0 评论 -
确定PE文件有效性
1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件头第一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ原创 2005-04-16 01:43:00 · 2055 阅读 · 0 评论 -
PE文件有效性检查源程序
.386.model flat,stdcalloption casemap:noneinclude C:/masm32/include/windows.incinclude C:/masm32/include/kernel32.incinclude C:/masm32/include/comdlg32.incinclude C:/masm32/include/user32.incincludeli原创 2005-04-16 14:22:00 · 2045 阅读 · 0 评论 -
Kaspersky杀毒软件klif.sys权限提升漏洞
Kaspersky杀毒软件klif.sys权限提升漏洞发布日期:2005-06-08更新日期:2005-06-08受影响系统: Kaspersky Labs Kaspersky Antivirus 5.0.335Kaspersky Labs Kaspersky Antivirus 5.0.228Kaspersky Labs Kaspersky Antivirus 5.0.227描述: BUGTRA原创 2005-06-11 23:22:00 · 7380 阅读 · 0 评论