- 博客(3)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 Overlay
原来用peid查看是否加壳,显示overlay是说明这个PE文件有附加数据。 附加数据是附加在文件后面的,不被映射到内存空间中的数据,它提供它自己的程序打开自己来读取,而在内存空间中看不到这部分数据 DWORD SetFilePointer( HANDLE hFile, //在用CreateFileA打开后得到的
2009-10-28 16:33:00
681
原创 《windows内核情景分析》对象的创建
创建系统调用的过程: 1.通过ObCreateObject()创建目标对象 2.目标对象本身的初始化 3.通过ObInsertObject()将目标对象插入对象目录和句柄表,并返回句柄。 凡是创建对象的系统调用,都要提供至少两个输入参数,其一是DesiredAccess,说明所创建对象的访问模式;另外一个是ObjectAttributes,这是一
2009-10-10 16:47:00
520
原创 《windows内核情景分析》句柄和句柄表
每个进程都有个句柄表,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄表 第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄表中的一个表项 表项的第一项Object指向某个对象的头部,而该表项在句柄表中的位置则取
2009-10-10 08:12:00
865
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人