- 博客(3)
- 收藏
- 关注
RSS订阅原创 1
内存相关的API: ReadProcessMemory :读取进程中的内存 1,需要拥有读取的权限; 2,这是基于32位内存的函数,如果是64位的游戏就失效了 参数( h_进程句柄, p_内存地址, out_数据存放, 要读取的字节数, out_接收字节数 可为0 ); WriteProcessMemory :往内存中写入数据 参数(h_进程句柄, p_内存地址, p_in_数据存放的容器, 要...
2019-04-09 19:28:59
110
原创 PE学习笔记二:节的操作
节表: 节表确定了节数据的属性,数量,大小等等; BYTE name,节的自定义名字,常见.text等等,但这并不是固定的,多数加壳程序可以修改节的名字; uniom{DWORD VirtualSize} Misc 在内存中实际的大小 DWORD VirtualAddress 在内存中的偏移,他加上扩展PE头中的ImageBase就是在内存中真正的地址;(换句话说,他是在内存中的) DW...
2019-03-28 09:39:03
246
原创 滴水PE知识点学习笔记
PE文件分为四部分: DOS部分,多是历史遗留问题,并不重要; DOS内一共有2个部分,第一个是MZ文件头,也就是拖入文件后显示的4D5A,大小一共64个字节; 第二部分是DOS Stub,也就是DOS块,他的大小不确定;如果是病毒程序,则可以在这里注入一些代码; 如何确定DOS块的大小:在MZ文件头结构体中,最后四个字节指向PE头的地址,PE头到结构体的距离就是DOS块的大小; PE文件头;...
2019-03-27 08:57:12
1092
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人