逆向
__网瘾少年
心之所向 素履以往 生如逆旅 一苇以航
展开
-
c/c++ windows 远程线程注入
常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入;远程线程注入——其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。被注入进程A, 注入 进程BHMODULE WINAPI LoadLibrary( _In_ LPCTSTR lpFileName); 以它为远程线程的回调;它的...转载 2019-05-24 15:05:02 · 976 阅读 · 0 评论 -
OD 中 MFC 窗口回调函数定位
瞎几吧写winClass 中包含了回调函数的地址, 这个地址在结构体中第二个RegisterClass 参数是一个指针, 而这个参数中的第二个成员就是我们要找的回调函数的地址, fllow in dis(进入回调函数中, 下一个断点) 在当前断点中下一个消息断点;B -> edit condition [esp+8] == 消息ID 条件...原创 2019-05-19 15:44:54 · 1035 阅读 · 0 评论 -
PE结构
pe结构.pdf 下载:https://download.csdn.net/download/uvarandmethod/10406805重温PE结构:1、DOS头struct _IMAGE_DOS_HEADER {0x00 WORD e_magic;//"MZ标记" 用于判断是否为可执行文件.0x02 WORD e_cblp;0x04 WORD e_cp;0x06 WORD ...转载 2019-05-26 14:15:48 · 1095 阅读 · 0 评论 -
shellCode 公式
E8 E9后的地址公式如下:X = 真正要跳转的地址 - E8这一条指令的下一行指令等价于X = 真正要跳转的地址 - (eip + 5)E8 XE9 XBYTE ShellCode[]={0x6A,0x00,0x6A,0x00,0x6A,0x00,0x6A,0x00,0xE8,0x00,0x00,0x00,0x00,0xE9,0x00,0x00,0x00,0x0...原创 2019-05-26 20:21:19 · 522 阅读 · 0 评论