qq_35426012的博客

设计思路远程申请内存 利用汇编指令在系统API开头劫持跳转 当自己的代码执行完再重新跳转回目标API示例代码如下386.model flat, stdcall ;32 bit memory modeloption casemap :none ;case sensitiveinclude Inject.inc.codeInjectCode: pop ea...

注入优势不需要远程创建线程APIAPI介绍1挂起线程SuspendThread2获取对方线程信息BOOL GetThreadContext( HANDLE hThread, //线程句柄 LPCONTEXT lpContext ); //传入传出参数：设备上下文 //注意：Context获取的寄存器信息需根据 Context.Cont...

SEH结构化异常1FS段存有线程信息结构体TIB2储异常信息的链表指针为TIB结构体的第一个成员3通过dt _EXCEPTION_REGISTRATION_RECORD发现链表指针的结构前4个字节：指向下一个异常处理结构体指针的位置，形成链表后4个字节：指向一个异常回调函数4异常回调函数//异常回调函数声明int _except_handler3( PEXCEPTION...

windbg下载安装配置符号路径如果是win10直接下载windbg预览版，预览版只有win10才能用，我的是win7所以下载的是老版本的，老版本去官网中的win10 sdk中下载 链接：https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive下载后会有x86和64位两个版本，两个版本都要配置符号路径，否则只能使用...

筛选器异常概念异常默认是由操作系统处理的，现在用API设置由用户自己定义处理异常(内存访问无效,修改到常量区等错误)语法设置异常发生处理器invoke SetUnhandledExceptionFilter, offset MyFilter //参数为异常回调处理函数自定义异常处理异常回调处理函.const ERRMSG db "由于用户操作失误！导致软件出现异常", 0...

内联编程概念在VS中直接使用汇编和C++代码进行混合编程，提高编码效率优势：调试更加方便语法代码段加__asm前缀int main(int argc){ char ary[10]; inject(1, 2); __asm mov al, 2 // 单行单条指令 __asm mov al...

互相调用其实挺方便的，只要生成.obj，然后声明需要使用的api，就可以调用了汇编调用cadd.cint Myadd(int n1, int n2){ return n1 + n2;}1在目录C:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\bin>中用cl.exe 编译add.c生成add.obj文件2在汇编工...

以前写的那个dll注入在技术对抗中是比较容易检测的，因为你要加载dll,对方只要遍历一下dll,或者dll个数检测一下，有问题直接退出程序，而汇编代码注入就不一样，这是直接把代码写到内存中，检测内存难度可比检测dll要难的，而且你也可以利用内存对齐把代码写到因对齐而空闲的内存中，反正这些靠自己去想吧，原理就是在内存中注入代码，至于在哪个内存地址写就看自己想象了注入原理：利用win32 api的V...

32位汇编与16位汇编的改变1寄存器的变化32位寄存器兼容16位寄存器，例如EAX 的低16位变为AX了,其余的寄存器同理注意：现在32位中的段寄存器给操作系统使用,所以有了权限一说EAX EBX ECX EDX ESI EDI ESP EBP ;八个寄存器，都是32位寄存器，占4个字节EIP EFLAGES ;特殊寄存器CS E...

MASM32 SDK安装链接：https://pan.baidu.com/s/18vymZzot7I6vtERPIZxgCw提取码：drad解压后直接点击安装，一路next就安装完成然后添加环境变量Masm32Dir=D:\masm32include=%Masm32Dir%\Include;lib=%Masm32Dir%\lib;path=%Masm32Dir%\Bin...