![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒PE学习
文章平均质量分 78
OSReact
这个作者很懒,什么都没留下…
展开
-
感染导入表方法-附源码(转载)
作 者:xiaoboshi 时 间:2010-01-07 13:17:14 我想大家都有过向可执行文件中添加导入函数的经历吧,尤其是软件diy的时候,有些函数没有被导入怎么办呢,一般的做法是通过pe编辑工具,例如顶顶大名的Loadpe。可是这些软件是怎样实现的呢,我想没有多少人是彻底弄明白的吧。前些日子由于本人碰到了一个问题,需要通过程序往指定文件添加导入函数,刚开始我也是手足无措的,因为转载 2012-07-12 02:07:56 · 721 阅读 · 0 评论 -
【原创】键盘布局0day漏洞分析
最近调了instruder发的0day漏洞:http://www.exploit-db.com/exploits/18140/把调试分析的情况写在这里。水平有限,让大家见笑了, 欢迎批评指正。dump文件的分析结果如下:EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx"FAULTING_IP: win32k!ReadLay原创 2012-07-12 03:38:03 · 670 阅读 · 0 评论 -
【原创】取FS:[0]的一个小技巧
代码:004F45A5 > 1E push ds004F45A6 0FA0 push fs004F45A8 1F pop ds004F45A9 33C0 xor eax, eax004F45AB 8B00 m原创 2012-07-12 03:46:45 · 1109 阅读 · 5 评论 -
qq密码输入框保护组件TSSafeEdit中的花指令研究
看到了天易love的影响,也想写一点东西,和大家分享一些研究的心得体会,也算是做一个小小的笔记。白菜贴,大牛飘过。时间比较紧,先粗略地写一下,等晚上再详细补充。TSSafeEdit是QQ的密码输入框保护组件,在Tencent\QQ\Bin目录下可以找到。这个文件我已从2009年一直跟踪到现在 期间它的版本有过好几次更新,目前的最新版本应该是2011.4.7.1。原创 2012-07-12 03:50:41 · 1144 阅读 · 0 评论 -
不能说的秘密之RtlAdjustPrivilege
前言:今天逆向一个非常实用的函数RtlAdjustPrivliege这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。先来看看这个函数的定义(Winehq给出):引用: NTSTATUS RtlAdjustPrivilege ( ULONG Privilege,原创 2012-07-12 03:51:38 · 1510 阅读 · 0 评论 -
昨日的病毒简单分析了下【附Bin样本】
由于里面的文件比较多,我只大概分析了一下,错误之处大家分析后指出来!我也不知道怎么感染这病毒的,幸好我电脑没联网,要不然!里面涉及技术比较多大家可以慢慢挖出来!注意:样本是我电脑上直接拷贝过来的!不知道是不是可以感染正题开始!病毒名字好像叫:红蜘蛛是拼音病毒的工作模式:向spoolsv.exe注入4个DLL,这4个DLL里面我只看了两个,它们都是分工明确,W原创 2012-07-12 03:56:44 · 1197 阅读 · 1 评论 -
汇编语言程序设计之伪指令LABEL和THIS
首先谈一下自己的一些理解:从高级语言的基本说一下在高级语言中,我们有时候对段存储空间进行了初始化的属性设置,例如存储空间的初始访问是int,每访问一次IP = IP+4,现在想以字节进行访问(char),那么就需要进行强制类型转换,但是这种转换只对单次的操作有用。int a[10]char *p = (char*)a;如果后面需要时候的时候,需要再次进行转换。在汇编语言编程转载 2012-08-22 10:03:55 · 7926 阅读 · 2 评论