93Storm

系统流程图流程图简要概述：第一步：通过枚举模块，后去.exe的加载地址,这个地址就是PE在进程中的加载基址。第二步：计算出导出表的位置。第三步：将目标进程中的数据读到本进程中。示例代码下载地址：http://download.youkuaiyun.com/detail/qq_21000273/9362435

1、 壳名：PECompact 2.x -> Jeremy Collake脱壳方式：采用ESP定律进行脱壳2、后序会慢慢总结进行补充。

在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术，首先我们来看看反调试技术。 一、Windows API方法 Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以

助记符标志位说明JZ/JEZF=1等于零/相等JNZ/JNEZF=0不等于零/不相等JSSF=1符号为负JNSSF=0符号为正JP/JPEPF=1低8位"1"的个数为偶JNP/NPOPF=0低8位"1"的个数为奇JOOF=1溢出JNOO

如何根据PE结构查看 32 或64位程序？根据 IMAGE_OPTIONAL_HEADER中的magic 进行判断：magic  = 0x10b     ； //the file is a 32 bit applicationmagic = 0x20b    ; // the file is a 64 bit application 如何根据pe结构查看EXE 或DLL程序：根

此文档主要讲解导出表，重定位信息：使用例子为: Windows.UI.Xaml.dll、010editor1、导出表，重定位表的地址存放在哪里DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录表数据目录表中的内容：structIMAGE_DATA_DIRECTORY  Export