OD
poppy飞翔
这个作者很懒,什么都没留下…
展开
-
OllyDebug使用1
Ollydebug界面上有四个窗口,分别是1、反汇编窗口:地址,机器码,反汇编代码,注释2、寄存器窗口3、数据窗口4、堆栈窗口L:log M:memory W:window H:Handle C:cpu K:堆栈调试:F2设置删除断点F7,类似VC中的F10,进入代码F8:类似F11F9:运行调试程序,直到断点处寄存器:ESP:指向原创 2016-12-26 16:00:00 · 2455 阅读 · 0 评论 -
傀儡进程原理及调试
傀儡进程创建过程:(1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED;(2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB;(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据;(4) VirtualAllo转载 2017-02-07 15:35:59 · 1569 阅读 · 0 评论 -
EXE注入分析之傀儡进程
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了,但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释,方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下,说错的地方请各位大神指正,板砖吐口水都可以。--- 我是淫荡的分割线---提到傀儡进程,首先想到的转载 2017-02-07 16:16:47 · 1835 阅读 · 1 评论