永不放弃_浪子文---------------黑客文化

一直都在研究木马病毒，逆向工程，但是一直都没有怎么写过文章，为了巩固自己的知识不忘记，所以把自己所学的东西都写出来（自己也是个菜鸟，呵呵），希望对爱好程序的朋友有帮助，有些东西自己也说的不是那么清楚，所以也会到网上找些，我也尽量的写的通俗，易懂。杀毒软件查杀病毒的原理话说当年中国第一批病毒石头和小球病毒跟随着软盘悄悄地通过香港和美国进入了中国内地，并在人们得懵懵懂懂之间在大型企业和研究所之

在Win32中，每个进程有自己的地址空间，一个进程不能轻易地访问另一个进程地址空间中的数据，所以不能像16位Windows那样做。Win32系统允许多个进程（运行在同一计算机上）使用内存映射文件来共享数据。实际上，其他共享和传送数据的技术，诸如使用SendMessage或者PostMessage，都在内部使用了内存映射文件。    这种数据共享是让两个或多个进程映射同一文件映射对象的视

摘要 　　 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中（Specs and Strategy, Specifications, Windows NT File Format Specifications），但是它非常之晦涩。　　 然而这一的文档并未提供足够的信息，所以开发者们无法很好地弄懂PE格式。本文旨在解

PE文件格式应用于所有32位Windows系统：Windows 9X， Windows NT，Windows 2000及Windows XP（Vista已经对PE格式进行了升级，也出现了PE64），而在MSDN 98中有PE的大量详细资料（按目录：MSDN Library Visual Studio 6.0 | Specification | Platforms | Microsoft Porta

解密系列 - 系统篇 第十一讲 - PE格式详细讲解11（2） 学习提示： PE是Windows上可执行文件的格式，了解PE文件格式将有助于对操作系统的深入理解。 如果你知道EXE和DLL里边的奥秘，将有助于提升你个人技术的含金量。 我们不能只知其然而不知其所以然。这个篇解密系列 - 系统篇 第十一讲 -  PE格式详细讲解11（2） -------------------

解密系列 - 系统篇 第十讲 - PE格式详细讲解10 学习提示： PE是Windows上可执行文件的格式，了解PE文件格式将有助于对操作系统的深入理解。 如果你知道EXE和DLL里边的奥秘，将有助于提升你个人技术的含金量。 我们不能只知其然而不知其所以然。这个篇章中小解密系列 - 系统篇 第十讲 -  PE格式详细讲解10 ------------------------

解密系列 - 系统篇 第八讲 - PE格式详细讲解8 学习提示： PE是Windows上可执行文件的格式，了解PE文件格式将有助于对操作系统的深入理解。 如果你知道EXE和DLL里边的奥秘，将有助于提升你个人技术的含金量。 我们不能只知其然而不知其所以然。这个篇章中小甲解密系列 - 系统篇 第八讲 -  PE格式详细讲解8 -------------------------

咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用！接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构，正如名字的意思，这是一个可选映像头，是一个可选的结构，但是呢，实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此，这些属性在 IMAGE_OPTIONAL_HEADER 结构中

解密系列 - 系统篇 第十一讲 - PE格式详细讲解11 学习提示： PE是Windows上可执行文件的格式，了解PE文件格式将有助于对操作系统的深入理解。 如果你知道EXE和DLL里边的奥秘，将有助于提升你个人技术的含金量。 我们不能只知其然而不知其所以然。这个篇章中解密系列 - 系统篇 第十一讲 -  PE格式详细讲解11 -----------------------

捷径并不是把弯路改直了，而是帮你把岔道堵上！走得弯路跟成长的速度是成正比的！不要害怕走上弯路，弯路会让你懂得更多，最终还是会在终点交汇！岔路会将你引入万劫不复的深渊，并越走越深……在开始讲解输入表（导入表）概念之前，请允许小甲鱼童鞋用简短的几句话来总结之前我们学过的内容，并做进一步的思想综合提升，注意咯！首先，我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分

PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称，里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~首先是IMAGE_NT_HEADERS 结构的定义：IMAGE_NT_HEADERS STRUCT { +0hDWORDSignature   //+4h  IMAGE_FILE_HE

各种区块的描述：很多朋友喜欢听PE详解，因为他们觉得课堂上老师讲解的都是略略带过，绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好，只能以比较通俗的话语来给大家描述~通常，区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块：一个是代码块，另一个是数据块。每一个区块都需要有一个截然不同的名字，这个名字主要是用来表达区块的用途。例如有一个区块叫.rdata，表明他

这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。首先，我们先用之前学过的一点知识在二进制文件中手动翻找区块表，这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西，不能用的理论是空谈，是瞎扯。这里我们经过千辛万苦终于找到了我们的区块表了（当然将来我会教大家写一个自己的工具，让工具去找，现在让大家自己动手是为了增强感觉！），现在我们联系上一章节提到的区块表的结

到此为止，大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表，也成节表)。越学越多的结构，大家可能觉得PE挺乱挺杂的哈，所以这里插播下一下必要知识的详细注释，大伙可以按需要看。PE文件到内存的映射在执行一个PE文件的时候，windows 并不在一开始就将整个文件读入内存的，二十采用与内

前言：  今天我们讲的主题是“变形PE头添加节形式感染”。因为大部分的添加节过程，在对节表结构尾部空隙不够写入一个新的节表结构时，都处理的不是很恰当。今天我来给大家带来一种思路，通过变形PE头来让我们有足够的空隙写入一个新的节表结构。1. 变形PE头原理:  这里的变形PE头的思路是用的比较方便的方法，就是将结构融合起来。聪明的你是否已经想到了？ 就是将IMAGE_DO

在这里为大家做好了详细的注释，免得大家一头雾水，另外可以结合小甲鱼《加密系列》-系统篇-PE结构详解视频教程学习~若有纰漏之处还望大家不吝指正。（注：最左边是文件头的偏移量。）IMAGE_DOS_HEADER STRUCT { +0hWORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h

1、显示服务(Video Service——INT 10H)00H —设置显示器模式0CH —写图形象素01H —设置光标形状0DH —读图形象素02H —设置光标位置0EH —在Teletype模式下显示字符03H —读取光标信息0FH —读取显示器模式04H —读取光笔位置10H —颜色05H —设置显示页11H —字体06H、07H —初始化或滚屏12H