Fido

在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 经典的代码是这样的:// call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址,当然

本贴原（共三篇）载于如下网址：http://www.newasp.net/tech/program/21108.html他让我对调试器的工作原理有了一定的了解，因觉得写得好，特整理在一块，便于自己查阅。如果版主觉得我转贴在此不合适，请给删去。我们可以用本文所介绍的方法写软件写内存补丁或内存注册机等。**************************************************

简单的线程注入的实现注:代码编写过程参考了一些资料,在此谢过....最近在搞线程注入。其实这个流程也蛮简单的。一些书上写的线程注入，都是使用 call [ebx + XXXX]的形式来解决重定位，这样的话，invoke伪指令就不能直接使用了.就像用伪指令调用messagebox，本来就是invoke MessageBox,NULL,addr szCaption,addr szTitle,MB_OK

上次那个改变键盘布局的程序，被同学很容易的就在任务管理器里找出来杀掉了，不爽！想个办法把它藏起来。　　google了一下，发现隐藏进程的方法有很多。可以用rundll，但那样任务管理器里还是会多出个进程，引起怀疑。还可以写注册表里AppInit_Dlls一项，但我试了一下，结果一改就开不了机，可能是我的dll没写好吧。再有就是注入了，代码注入很隐蔽，但还要遇到代码定位，API定位等问题，麻烦，还是

一、 .386.model flat, stdcalloption casemap:none;**************************************************************************************************include w2k/ntstatus.incinclude w2k/ntddk.incincl

===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者：Holy_Father             版本：1.2 english            日期：05.08.2003=====[ 1. 内容

剖析Windows系统服务调用机制Author: BriefE-Mail: Brief#fz5fz.orgHomepage: http://www.fz5fz.org && http://www.safechina.netDate: 07-18-2003一> 序言    Windows系统服务调用是存在于Windows系统中的一个关键接口，常常称作System Call ，Sysem Servic

EMAIL：flashsky@xfocus.org站点：http://www.xfocus.net  www.shopsky.com/在普通的WINDOWS 2000下实现实现包过滤的方法主要是书写NDIS过滤驱动程序，需要的技巧比较高，而且烦琐，需要考虑很多细节。但是对于很多应用而言，只需要能更方便的对ip包进行过滤处理，其实NDIS对于ip包的过滤提供一种书写过滤钩子驱动的方式，主要方法是：驱

简单的线程注入的实现注:代码编写过程参考了一些资料,在此谢过....最近在搞线程注入。其实这个流程也蛮简单的。一些书上写的线程注入，都是使用 call [ebx + XXXX]的形式来解决重定位，这样的话，invoke伪指令就不能直接使用了.就像用伪指令调用messagebox，本来就是invoke MessageBox,NULL,addr szCaption,addr szTitle,MB_OK