加密与解密-PE格式初探
知识点提炼: 1. PE文件所有代码和数据都被合并在一起,组成一个很大的结构。 2. 文件内容被分割为不同区块,块中包含代码或数据。每个块都有它自己在内存中的一套属性。 3. text:指令代码 , rdata : 运行期的只读数据 , idata : 包含其他外来DLL的函数及数据信息,即输入表。 rsrc : 包含模块全部资源,如图标,菜单,位图等。 4……
核心原理-第4章 IA-32寄存器基本讲解
寄存器是CPU内部用来存放数据的一些小型存储区域,与我们常说的RAM(随机寄存器,内存)有些不同。 CPU要访问RAM中的数据时要经过较长的物理路径,花费时间较长,而寄存器集成在CPU的内部,拥有非常高的读写速度。 0x1 基本程序运行寄存器 通用寄存器(32位,8个) 段寄存器(16位,6个) 程序状态与控制寄存器(32位,1个) 指令指针寄存器(32位……
核心原理-第5章 栈
栈通常用于存储局部变量、传递函数参数、保存函数返回地址等。调试程序时需要不断查看栈内存。 0x1 栈内存在进程中的作用 暂时保存函数内的局部变量 调用函数时传递参数 保存函数返回后的地址 0x2 栈的特征 栈是由高地址向低地址扩展的数据结构。 ESP为栈顶指针 栈顶指针初始状态下指向栈底 ……
核心原理-第13章 PE文件格式
学习PE文件格式的过程中也整理一下有关进程、内存、DLL等内容。 1 PE文件格式 种类 主扩展名 种类 主扩展名 可执行系列 exe,scr 驱动程序系列 sys,vxd 库系列 dll,ocx,cpl,drv 对象文件系列 obj 1.1 基本概念 VA:虚拟地址 模块地址(image Base) 模块地……
核心原理-第23章 DLL注入
DLL注入是渗透其他进程的最简单有效的办法,借助DLL注入可以钩取API,改进程序,修复BUG等。 23.1 DLL注入 DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。DLL注入命令其他进程自动调用LoadLibrary(),加载用户指定的DLL文件。DLL注入与一般DLL加载区别在于,加载的目标进程是其自身或其他进程。 加载到其他进程中的DL……
权威指南-第50章 混淆技术
代码混淆技术是一种用于阻碍逆向工程分析人员解析程序代码的指令处理技术 0x1 字符串变换 在逆向工程中字符串经常会起到路标的作用,一些编程人员会着手解决这个问题,会采用一些变换手法,让他人不能直接通过IDA或者16进制编辑器直接搜索到字符串。 0x2 可执行代码 在正常执行的指令序列中插入一些虽然可以被执行的但是没有任何作用的指令,本身就是一种代码混淆技术。……
核心原理-第26章 PE Tools
0x1 PE Tools介绍 PE Tools工具可以获取系统中正在运行的所有进程的列表。程序主窗口分为上下两个部分,上半部分显示的是正在运行的进程,下半部分显示的是当前所选进程中加载的DLL模块。 0x2 进程内存转储 Dump:将内存中的内容转存到文件。 这种转储技术用来查看正在运行的进程内存中的内容。文件 是 运行时解压缩文件状态时,其只有在内存中才……