- 博客(19)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 PE文件结构及在winnt.h中的定义
PE就是Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式,如:exe文件、DLL 、ocx文件均为PE格式。"portable executable"意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行体必然得
2010-03-21 13:03:00
958
转载 VS2003试图运行项目时出错,无法启动调试。没有正确安装调试器。请运行安装程序安装或修复调试器
VS2003试图运行项目时出错,无法启动调试。没有正确安装调试器。请运行安装程序安装或修复调试器 1、在命令行中尝试重新注册mscordbi.dll(regsvr32 mscordbi.dll)文件,该文件位于(C:/WINNT/Microsoft.NET/Framework/v1.1.4322请找到你本机的这个对应的目录)。2、在命令行中尝试重新注册oleaut32.dll(
2010-04-01 11:15:00
517
原创 VC下Unicode 到UTF-8的转换
VC下Unicode 到UTF-8的转换Ansi字符串英文占一个字节,汉字2个字节,以一个/0结尾,常用于txt文本文件。Unicode字符串,每个字符(汉字、英文字母)都占2个字节,以2个连续的/0结尾,NT操作系统内核用的是这种字符串,常被定义为typedef unsigned short wchar_t;所以我们有时常会见到什么char*无法转换为unsigned short*之类的
2010-03-30 15:07:00
2611
原创 CFile的Unicode宽字符写文件
CFile的Unicode宽字符写文件ANSI字符集称为窄字符,8位,C语言用unsigned char表示,不能存放世界上所有语言所有文字。UNICODE字符集称为宽字符,16位,C语言用unsigned short表示,可以存放世界上所有语言所有文字。宽字符字符串表示为一个wchar_t[]数组并由wchar_t* 指针指向它。可以通过用字母L作为字符的前缀将任何ASCII字符表示
2010-03-28 15:48:00
4812
4
转载 局部变量、全局变量、堆、堆栈、静态和全局
局部变量、全局变量、堆、堆栈、静态和全局一般全局变量存放在数据区,局部变量存放在栈区, 动态变量存放在堆区,函数代码放在代码区。 栈区是普通的栈数据结构,遵循LIFO后进先出的规则,局部变量安排在那里是ASM时就规定的,这样可以在一个函数结束后平衡堆栈,操作简单,效率高 堆(动态区)在这里应当叫堆栈(不要和数据结构中的堆搞混)是程序在编译时产生的一块用于产生动态内存分配使用的块,操作比较栈要麻
2010-03-26 17:44:00
463
转载 SQL注入漏洞全接触
引 言随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的W
2010-03-23 13:42:00
334
转载 技术管理中常见的几个问题 如何被推荐?
技术管理中常见的几个问题 如何被推荐? 前几天跟朋友聊天时,朋友说他刚刚从一家知名软件公司面试出来,朋友去面试的是一家公司的技术管理岗位,所以在面试的时候被问及的问题也偏重于技术管理方面的问题,在与朋友的聊天中将这几个问题归纳了一下,大致归为如下几个问题。在日常中你是如何行使管理职能的 这个问题以我的经验来及参考常见的一些开发方法,在实际中我都是早询问及晚反馈的方法。也就
2010-03-22 15:06:00
336
转载 Win32病毒入门 -- ring3篇
Win32病毒入门 -- ring3篇 by pker / CVC.GB1、声明-------本文仅仅是一篇讲述病毒原理的理论性文章,任何人如果通过本文中讲述的技术或利用本文中的代码写出恶性病毒,造成的任何影响均与作者无关。2、前言-------病毒是什么?病毒就是一个具有一定生物病毒特性,可以进行传播、感染的程序
2010-03-21 19:14:00
877
转载 Win32下病毒设计入门详细解说
Win32下病毒设计入门详细解说 本文假定你对dos下的病毒和386PM有一定的了解。 1、感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中(伴侣病毒除外) 以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章。 PE文件的典型结构:MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION TABL
2010-03-21 19:12:00
743
转载 揭开病毒的奥秘 DLL的远程注入技术详解--10
揭开病毒的奥秘 DLL的远程注入技术详解--10DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用
2010-03-21 19:11:00
399
转载 亲密接触恶意代码之文件感染和内存驻留--9
亲密接触恶意代码之文件感染和内存驻留--9 内存驻留感染技术 如果读者曾经使用过MS-DOS的话,对驻留内存、截获中断以执行特定操作的程序(TSR)一定不会陌生。在MS-DOS时代,不仅正常的应用程序大量使用TSR技术,病毒同样也利用TSR 技术驻留内存,监视文件读写操作并伺机进行感染。 在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且对
2010-03-21 19:10:00
552
转载 恶意代码的亲密接触之病毒编程技术--1
恶意代码的亲密接触之病毒编程技术--1 生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋生的温床,有资料显示,未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒,在人们通过网络查阅信息、交换文件、收听视频时正在悄悄地传
2010-03-21 19:08:00
507
转载 恶意代码的亲密接触之病毒编程技术--2
恶意代码的亲密接触之病毒编程技术--2 PE 病毒技术剖析 典型的PE病毒修改PE文件,将病毒体代码写入PE 文件文件中,更新头部相关的数据结构,使得修改后的PE文件仍然是合法PE文件,然后将PE入口指针改为指向病毒代码入口,这样在系统加载PE文件后,病毒代码就首先获取了控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码,这样病毒代码就神不知鬼不觉地悄悄运行了。 这只是
2010-03-21 19:06:00
508
转载 恶意代码的亲密接触之病毒编程技术--3
恶意代码的亲密接触之病毒编程技术--3 重定位 病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址
2010-03-21 19:04:00
509
转载 恶意代码的亲密接触之文件搜索和API导址--4
恶意代码的亲密接触之文件搜索和API导址--4 在前一篇文章中介绍了病毒的相关基础知识后,从本文开始我们就要深入病毒内部,开始看一些具体的病毒编码片断,在本文中我们会看到API函数搜索以及文件搜索的技术,为后面更加深入的探讨打下良好的基础,如果你已经准备好了,就让作者带你进入这无所不用其极的病毒技术世界吧。 获取Kernel32.DLL 基址 获取Kernel32.DLL基址的方
2010-03-21 19:02:00
333
转载 恶意代码的亲密接触之文件搜索和API导址--5
恶意代码的亲密接触之文件搜索和API导址--5 解析PE文件的导出函数表 PE文件的函数导出机制是进行模块间动态调用的重要机制,对于正常的程序,相关操作是由系统加载器在程序加载前自动完成的,对用户程序是透明的。但要想在病毒代码中实现函数地址的动态解析以取代加载器,那就有必要了解函数导出表的结构了。在图1 中可以看到在PE头结构IMAGE_OPTIONAL_HEADER32结构中包含一个Da
2010-03-21 19:01:00
416
转载 恶意代码的亲密接触之文件搜索和API导址--6
恶意代码的亲密接触之文件搜索和API导址--6 文件搜索 文件搜索是病毒的重要功能模块之一,也是实现感染和传播的关键。现代Windows和各种移动介质的文件系统可能采用多种复杂格式,因此象一些Dos 病毒一样试图直接存取文件系统(读写扇区)是不大现实的。通常利用Win32 API 的FindFirstFile 和FindNextFile 来实当前目录下所有目录和文件的搜索,通过判断搜索到的
2010-03-21 18:59:00
359
转载 亲密接触恶意代码之文件感染和内存驻留--7
亲密接触恶意代码之文件感染和内存驻留--7 这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。 在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和Fin
2010-03-21 18:57:00
397
转载 亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留--8 PE 文件的修改和感染策略 既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射文件的
2010-03-21 18:26:00
469
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人