免杀技术
文章平均质量分 52
ThatAllOver
学习快乐才是快乐。
展开
-
VMProtect SDK使用日记
首先是看懂接口#pragma once#if defined(__APPLE__) || defined(__unix__)#define VMP_IMPORT#define VMP_API#define VMP_WCHAR unsigned short#else#define VMP_IMPORT __declspec(dllimport)#define VMP_API __stdcall#define VMP_WCHAR wchar_t#ifdef _WIN64#pragma原创 2020-09-20 15:05:10 · 4722 阅读 · 10 评论 -
根据PEB判断是否被调试
PEB偏移0x2地方的BeginDebugged标志着当前程序是否被调试#include <Windows.h>bool CheckDebug(){ bool bDebug = false; _asm { push eax //在eax上操作就要先保存好eax的值 mov eax,dword ptr fs:[0x30] //获取PEB mov a...原创 2019-05-29 21:06:05 · 532 阅读 · 0 评论 -
PE文件导入表解析
#include <Windows.h>#include <iostream>#include <string>#include <fstream>#include <memory>using namespace std;int rva_to_file(PIMAGE_SECTION_HEADER pSection,int...原创 2019-05-31 14:19:40 · 335 阅读 · 0 评论 -
PE文件的导出表解析
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留,一直都是00000000 DWORD TimeDateStamp;//导出表创建的时间(GMT) WORD MajorVersion;//导出表的主版本号 WORD MinorVersion;//导出表的次版本号 DWORD ...原创 2019-05-31 13:10:22 · 376 阅读 · 0 评论 -
反调试技术
#include <windows.h>int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ HMODULE hModule = GetModuleHandleW(L"ntdll.dll"); if (!hM...原创 2019-05-18 15:36:48 · 1193 阅读 · 0 评论 -
栈溢出攻击基础
不知道有没有听说过缓冲区溢出,那什么是缓冲区溢出呢?缓冲区溢出就是在大缓冲区中的数据向小缓冲区复制的过程中,由于没有进行边界检查,从而导致数据从小缓冲区溢出而冲掉了相邻内存区域的其它数据。缓冲区溢出是很常见的内存错误,攻击者入侵系统利用缓冲区溢出几乎可以做任何事情,因为成功利用缓冲区溢出漏洞不仅可以修改内存中变量的数据,还可以劫持进程,执行恶意代码,获取主机控制权。我们要理解这一类攻击手法,那...原创 2018-10-25 17:00:06 · 1143 阅读 · 0 评论 -
逆向笔记(一)
1.main()函数的真正原型 int main(int argc,char *argv[],char *envp[]);不信可以查看MSDN。2.程序会随着main()函数的结束而退出,所以会接近exit()函数。3.可以用OllDbg的字符串搜索法快速找到main()函数。4.可以用栈回溯法找到main()函数。5.三个常用调用约定_cdecl,_fastcaol,_stdca...原创 2018-10-20 10:14:54 · 409 阅读 · 0 评论 -
pe文件of映像文件头
typedef struct _IMAGE_FILE_HEADER {USHORT Machine;//运行平台USHORT NumberOfSections;//区段数量ULONG TimeDateStamp;//文件创建时间ULONG PointerToSymbolTable;//符号表指针ULONG NumberOfSymbols;//符号表数量USHORT SizeOfOpt...原创 2018-10-19 16:25:08 · 272 阅读 · 0 评论 -
pe文件ofPE文件头
PE文件头在DOS Sub后面,起始标记为PE自缚,由MS-DOS的e-lfanew字段指向。PE文件头的结构体。typedef struct _IMAGE_NT_HEADERS{ DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_POTIONAL_HEADER32 OptionalHeader;}IMA...原创 2018-10-19 16:03:43 · 347 阅读 · 0 评论 -
PE文件ofMS-DOS头
MS-DOS每一个pe文件都是存在的(除非手工移除了),它的存在就是为了兼容性,MS-DOS后面紧跟的是DOS Sub,有了它们,程序一旦在DOS系统下运行,就会出现一个错误提醒:this program cannot be run in MS-DOS mode。MS-DOS头结构体代码如下。typedef struct _IMAGE_DOS_HANDER{}typedef ...原创 2018-10-19 15:52:05 · 203 阅读 · 0 评论