加密解密
关注
分享
扫一扫
^卿^
他日若是凌云志,敢笑黄巢不丈夫
展开
-
Win32:进程相关的API
文章目录获取所有进程的进程ID和EXE文件名 方式1:通过进程快照CreateToolhelp32Snapshot(),获取所有进程的ID和进程EXE名(不是路径) 方式2:通过枚举进程EnumProcesses(),只能获取所有进程的ID 打开进程句柄(通过进程ID) 打开模块句柄/基址(根据进程句柄、模块名) 获取模块的文件全路径(根据进程句柄、模块句柄) 获取模块的文...转载 2020-02-15 15:54:27 · 750 阅读 · 0 评论 -
PE文件到内存的映射
在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。 但是要注意的是,系统装载可执行文件的方法...转载 2019-01-02 14:42:55 · 439 阅读 · 0 评论 -
区块表(节表)和区块(节)续
这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。(具体过程演示大伙可参考小甲鱼的视频教程:《解密系列》系统篇.第五讲)这里我们经过千辛万苦终于找到了我们的区块表了(当然将来我会教大家写一个自己的工具,让工具去找,现在让大家...转载 2019-01-02 14:59:39 · 180 阅读 · 0 评论 -
区块描述、对齐值以及RVA详解
各种区块的描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。每一个区块都需要有一个截然不同的名字,这个名字主要是用来表达区块的用途。例如有一个区块叫.rdata,表明他是一...转载 2019-01-02 15:33:21 · 929 阅读 · 0 评论 -
实模式与虚模式
在我们阅读boot loader代码时,遇到了两个非常重要的概念,实模式(real mode)和保护模式(protected mode)。 首先我们要知道这两种模式都是CPU的工作模式,实模式是早期CPU运行的工作模式,而保护模式则是现代CPU运行的模式。 但是为什么现代CPU在运行boot loader时仍旧要先进入实模式呢?就是为了实现软件的向后兼容性不得已才这样的。...转载 2019-04-28 11:22:36 · 1414 阅读 · 0 评论 -
OD常用命令&快捷键
免杀修改特征码需要熟练掌握的汇编知识一.机械码,又称机器码.C32ASM打开,编辑exe文件时你会看到许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码就是机器码.修改程序时必须通过修改机器码来修改exe文件.二.需要熟练掌握的全部汇编知识(只有这么多)不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了cmp a,b 比较a与bmov a,b 把...转载 2019-04-28 15:03:31 · 1850 阅读 · 0 评论 -
OllyDbg 操作说明
参考书:《加密与解密》视频:小甲鱼 解密系列 视频一、OllyDbg基本界面图片1如果按窗口切换按钮出现下面的情况,乱了,只需要双击一个窗口让它全屏就行了。图片2二、部分快捷键介绍F3 : 打开目标文件F2 : 设置断点F7:单步步进,遇到CALL跟进F8:单步步过,遇到CALL路过,不跟进...转载 2019-05-06 17:38:14 · 2102 阅读 · 0 评论