SauceJ的专栏

PE文件基址重定位（Base Relocation）,程序编译时每个模块有一个优先加载地址ImageBase,这个值是连接器给出的，因此连接器生成的指令中的地址是在假设模块被加载到ImageBase前提之下生成的，

方法1:提取ShellCode中的机器码---->把机器码粘贴到WinHEX并保存成exe文件---->用C32Asm反汇编---->得到反汇编码。方法2:提取ShellCode中的机器码---->用OllyDBG随便打开一个exe程序---->把机器码直接二进制粘贴到OllyDBG---->得到反汇编码。

转自http://hi.baidu.com/egodcore/item/c13e67fe197c940fc6dc45f5众所周知，在windows xp时代未启用ASLR（Address space layout randomization，堆栈地址随机分布），我们在编写shellcode可以利用硬编码法，将地址写入shellcode，但是这种方法的缺点很明显--不具备通用性。在xp sp

转自看雪LDR链调试手记   无论是编写ShellCode还是外壳程序，都需要动态的获取各个api的实际地址，最通用的方法之一，莫过于通过得到各个DLL模块的基址，再遍历其导出表。其中，获得各个模块基址中，通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结，于是就有了这一篇手记。