逆向工程核心原理
关注
分享
扫一扫
九层台
这个作者很懒,什么都没留下…
展开
-
代码注入进程代码实现
#include"windows.h"#include"tchar.h"typedef struct _THREAD_PARAM{ FARPROC pFunc[2]; //LoadLibraryA(),GetProcessAddress()}THREAD_PARAM,*PTHREAD_PARAM;BYTE g_InjectionCode[] ={};BOOL InjectCo...原创 2018-11-06 16:49:21 · 1210 阅读 · 0 评论 -
复写IAT劫持程序执行流(计算器中显示中文数字)
结果:在计算器窗口中把本来应该显示的数字替换为中文须知:计算器显示数据的时候需要调用user32.dll里面的SetWindowText() API过程:在程序运行的时候会加载user32.dll到内存,这个时候会把IAT里面写入成函数的真正地址(具体见文章中图),这里自己写一个dll当dll被加载会修改user32.dll!SetWindowTextW对应的IAT值达到劫持程序执行流的目的。...原创 2018-11-08 22:01:22 · 759 阅读 · 0 评论 -
进程隐藏实验(隐藏notepad进程)
0x01须知需要技术:全局API勾取。原理:进程是内核对象,通过相关API可以检测到他们,用户模式下检测API分为2类CreateToolhelp32Snapshot()和EnumProcess()函数。但是2个API最终都会调用ntdll.ZwQuerySystemInformation()APIZwQuerySystemInformation( SYSTEM_INFORMATION...原创 2018-11-22 03:44:55 · 2648 阅读 · 3 评论