- 博客(13)
- 收藏
- 关注
RSS订阅转载 VB键盘钩子源码:截取一切键盘按键
VB键盘钩子源码:截取一切键盘按键 (2011-07-15 10:52:11)转载▼标签: 杂谈分类: 我的VB1、UI设计:2、程序源码:(1)FrmHook源码Option ExplicitDim WithEvents Hook As Cl
2016-08-24 21:50:17
4383
转载 小甲鱼PE详解之资源(PE详解11)
小甲鱼PE详解之资源(PE详解11)我们知道,Windows 将程序的各种界面定义为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(Dialog Box)、图标(Icon)、菜单(Menu)、串表(String Table)、工具栏(Toolbar)和版本信息(Version Information)等。为了吸引大家的兴趣和目光,咱先
2016-07-21 14:28:43
711
转载 小甲鱼PE详解之基址重定位详解(PE详解10)
小甲鱼PE详解之基址重定位详解(PE详解10)这一节对于讲来研究病毒原理的研究影响比较大,大家务必要深入理解~ 但是吧,咱的权威教材看雪的《加密与解密》在这一节的讲解上实在不给力,很多初学者看得云里雾里的。大家意见一致啵 ?! 为了让大家能够更容易的接受,小甲鱼决定通过自问 - 自答循环渐进的模式给大家讲解基址重定位的原理和应用。问题一:什么是基址重定位?答
2016-07-21 14:27:46
271
转载 小甲鱼PE详解之输入表(导出表)详解(PE详解09)
小甲鱼PE详解之输出表(导出表)详解(PE详解09)当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。基础补充:很多朋友可能看到这里会有点懵,各位看官请允许小甲鱼啰嗦一下,照顾初学者。我们都明白Wind
2016-07-21 14:26:36
613
转载 小甲鱼PE详解之输入表(导入表)详解2(PE详解08)
输入表结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少
2016-07-21 14:26:04
287
转载 小甲鱼PE详解之输入表(导入表)详解(PE详解07)
在开始讲解输入表(导入表)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前我们学过的内容,并做进一步的思想综合提升,注意咯!首先,我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块表(节表)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如接着要讲的输入表、输出表等就
2016-07-21 14:24:45
607
转载 小甲鱼PE详解之区块描述、对齐值以及RVA详解(PE详解06)
各种区块的描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。每一个区块都需要有一个截然不同的名字,这个名字主要是用来表达区块的用途。例如有一个区块叫.rdata
2016-07-21 14:23:19
279
转载 小甲鱼PE详解之区块表(节表)和区块(节)续(PE详解05)
这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。(具体过程演示大伙可参考小甲鱼的视频教程:《解密系列》系统篇.第五讲)这里我们经过千辛万苦终于找到了我们的区块表了(当然将来我会教大家写一个自己的工具,让工具去
2016-07-21 14:22:12
218
转载 小甲鱼PE详解之区块表(节表)和区块(节)(PE详解04)
PE文件到内存的映射在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
2016-07-21 14:21:24
350
转载 小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. //+18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh)+1Ah BYTE MajorLinkerVersion; //
2016-07-21 14:20:48
494
转载 小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)
IMAGE_NT_HEADERS STRUCT { +0hDWORDSignature //+4h IMAGE_FILE_HEADER FileHeader //+18hIMAGE_OPTIONAL_HEADER32OptionalHeader //} IMAGE_NT_HEADERS ENDSSignature 字段
2016-07-21 14:19:07
319
转载 小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT { +0hWORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4hWORD e_cp //Pages in
2016-07-21 14:17:58
464
转载 PE文件的执行顺序
当一个PE文件被执行时,PE装载器首先检查DOS MZ header里的PE header的偏移量。如果找到,则直接跳转到PE header的位置。当PE装载器跳转到PE header后,第二步要做的就是检查PE header是否有效。如果该PE header有效,就跳转到PE header的尾部。紧跟PE header尾部的是节表。PE 装载器执行完第二步后开始读取节表中的节段信
2016-07-21 14:13:46
245
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人