- 博客(5)
- 收藏
- 关注
RSS订阅原创 PE文件结构
了解PE文件结构对于分析病毒来说很重要,虽然这方面的资料在网上绰绰有余,我还是想写写我自己觉得更有用的一些东西。3ch pe,0,0 字符串(Signature)的位置从这里开始就是pe文件头PE header 的正式命名是 IMAGE_NT_HEADERS。IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAG
2007-02-13 16:12:00
937
转载 A Crash Course on the Depths of Win32 Structured Exception Handling
Matt Pietrek 著 董岩 译在所有 Win32 操作系统提供的机制中,使用最广泛的未公开的机制恐怕就要数结构化异常处理(structured exception handling,SEH)了。一提到结构化异常处理,可能就会令人想起 _try、_finally 和 _except 之类的词儿。在任何一本不错的 Win32 书中都会有对 SEH 详细的介绍。甚至连 Win32 SDK 里都
2007-02-13 13:25:00
1167
转载 几种得到kernel32.dll地址的方法(基本就是抄的)
1)利用PEB结构来查找原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于 PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构中,相应的双向链表头部 的指针
2007-02-13 11:20:00
10574
转载 Windows NT/2000内部数据结构探究
WINDOWS系统隐含了不少内部数据结构,其记录着与系统相关的所有重要信息如线程、进程、内核调用等等,具体如Windows NT/2000模块ntoskrnl.exe中的NtBuildNumber与KeServiceDescriptorTable等(用SoftICE或Visual Studio所带的Dependency Walker之类的可以看到),前者只是指出当前Windows的Build号(如
2007-02-13 11:11:00
1078
转载 红客所知的十五大问题
问:什么是网络安全?答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。问:什么是计算机病毒?答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。问:什么是木马?答:木马是一种带有恶意
2007-02-06 12:55:00
1198
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人