![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
windows逆向
小猪背书包
薪资与工作年限无关,与自身实力直接挂钩
展开
-
PE结构---获取导入表中函数的实际地址
系统流程图 流程图简要概述: 第一步:通过枚举模块,后去.exe的加载地址,这个地址就是PE在进程中的加载基址。 第二步:计算出导出表的位置。 第三步:将目标进程中的数据读到本进程中。 示例代码下载地址: http://download.csdn.net/detail/qq_21000273/9362435原创 2015-12-17 15:12:07 · 870 阅读 · 0 评论 -
手动脱壳技巧总结
1、 壳名:PECompact 2.x -> Jeremy Collake 脱壳方式:采用ESP定律进行脱壳 2、后序会慢慢总结进行补充。原创 2016-04-24 18:57:18 · 448 阅读 · 0 评论 -
反调试技术
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法 Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以转载 2016-07-27 09:00:03 · 710 阅读 · 0 评论 -
汇编---跳转指令
助记符 标志位 说明 JZ/JE ZF=1 等于零/相等 JNZ/JNE ZF=0 不等于零/不相等 JS SF=1 符号为负 JNS SF=0 符号为正 JP/JPE PF=1 低8位"1"的个数为偶 JNP/NPO PF=0 低8位"1"的个数为奇 JO OF=1 溢出 JNO O转载 2016-07-19 21:39:23 · 1157 阅读 · 0 评论 -
windows 64位和32位
如何根据PE结构查看 32 或64位程序? 根据 IMAGE_OPTIONAL_HEADER中的magic 进行判断: magic = 0x10b ; //the file is a 32 bit application magic = 0x20b ; // the file is a 64 bit application 如何根据pe结构查看EXE 或DLL程序: 根原创 2017-01-02 15:48:39 · 385 阅读 · 0 评论 -
PE导出表、重定位详解
此文档主要讲解导出表,重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出表,重定位表的地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录表 数据目录表中的内容: structIMAGE_DATA_DIRECTORY Export原创 2016-12-31 20:41:05 · 2443 阅读 · 0 评论