逆向
关注
分享
扫一扫
__网瘾少年
心之所向 素履以往 生如逆旅 一苇以航
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
c/c++ windows 远程线程注入
常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入; 远程线程注入——其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。 被注入进程A, 注入 进程B HMODULE WINAPI LoadLibrary( _In_ LPCTSTR lpFileName); 以它为远程线程的回调; 它的...转载 2019-05-24 15:05:02 · 1058 阅读 · 0 评论 -
OD 中 MFC 窗口回调函数定位
瞎几吧写 winClass 中包含了回调函数的地址, 这个地址在结构体中第二个 RegisterClass 参数是一个指针, 而这个参数中的第二个成员就是我们要找的回调函数的地址, fllow in dis(进入回调函数中, 下一个断点) 在当前断点中下一个消息断点; B -> edit condition [esp+8] == 消息ID 条件...原创 2019-05-19 15:44:54 · 1084 阅读 · 0 评论 -
PE结构
pe结构.pdf 下载:https://download.csdn.net/download/uvarandmethod/10406805 重温PE结构: 1、DOS头 struct _IMAGE_DOS_HEADER { 0x00 WORD e_magic;//"MZ标记" 用于判断是否为可执行文件. 0x02 WORD e_cblp; 0x04 WORD e_cp; 0x06 WORD ...转载 2019-05-26 14:15:48 · 1178 阅读 · 0 评论 -
shellCode 公式
E8 E9后的地址公式如下: X = 真正要跳转的地址 - E8这一条指令的下一行指令 等价于 X = 真正要跳转的地址 - (eip + 5) E8 X E9 X BYTE ShellCode[]={0x6A,0x00,0x6A,0x00,0x6A,0x00,0x6A,0x00,0xE8,0x00,0x00,0x00,0x00,0xE9,0x00,0x00,0x00,0x0...原创 2019-05-26 20:21:19 · 575 阅读 · 0 评论