计算机病毒
文章平均质量分 90
weixin_45256499
这个作者很懒,什么都没留下…
展开
-
PE头文件分析
相关知识介绍PE 中涉及的地址有四类:虚拟内存地址 ( VA )相对虚拟内存地址 ( RVA )文件偏移地址 ( FOA ) 在winhex中看到的就是FOA特殊地址用户的 PE 文件被操作系统加载进内存后, PE 对应的进程支配了自 己独立的 4GB 虚拟空 间。在这个空间中定位的地址称为虚拟内存地址 (Virtual Address ,VA )进程本身的 VA =进程的基地址 + 相对 虚拟内存地址 。相对虚拟内存地址 (Reverse Virtual Address ,RVA原创 2021-06-16 18:36:05 · 249 阅读 · 0 评论 -
Windows PE开发环境
1、PE可执行文件分析1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.lib//数据段 .dataszText d原创 2021-06-16 18:21:46 · 744 阅读 · 0 评论 -
文件系统结构分析与数据恢复
文件恢复是指由于各种原因(如病毒等)导致数据损失时把保留在介质上的数据重新恢复的过程。即使数据被删除或硬盘出现故障,只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。预备知识一.硬盘数据存储区域FAT16和FAT32文件系统硬盘上的数据按照其不同的特点和作用大致可分为5部分:MBR区、DBR区、FAT区、FDT区和DATA区。MBR由分区软件创建,DBR区、FAT区、FDT区和DATA区由高级格式化程序创建。文件系统写入数据时只是改写相应的FAT区、FDT区和DATA区。这5个区域共同.原创 2021-06-11 15:40:57 · 1782 阅读 · 3 评论