源程序是这个样子: 思路: 1、通过LordPE工具拿到所需数据 2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址 3、UE十六进制编辑器定位代码节基址 4、在代码节找到一处空白区 5、写入代码对应的十六进制数据 6、Call到MessageBoxA,Call:E ...
分类:
其他好文 时间:
2018-05-30 00:25:33
阅读次数:
582
2018年4月份,网络安全公司Endgame发布了一款名为EMBER的大型开源数据集。EMBER是一个包含了100多万种良性和恶意PE文件(Windows可执行文件)集合,这是一种常见的恶意软件隐藏格式。同时,针对该数据集,该公司同时在github上发布了如何使用该数据集的一个教程贴。在该教程的指引 ...
分类:
其他好文 时间:
2018-05-08 21:02:33
阅读次数:
611
PE文件中重要的表有:1.导出表,2.导入表,3.IAT表,4.重定位表,5.资源表导入表的结构体: 以上结构体成员不多,而且有用的成员只有第一个共用体成员,第四个dll名称,第五个FirstThunk(ITA表首地址)。一一详解如下: 1)第一个成员虽为共用体,但常用的类型是共用体中第二个成员DW ...
分类:
其他好文 时间:
2018-05-08 16:27:05
阅读次数:
144
静态分析:IDA逆向代码段说明 text、idata、rdata、data 通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的段text、idata、rdata、data, 四个段为PE文件的结构中对应的段。 一、text段: 该段位程序代码段,在该段一开始就可以看到: .text:004 ...
分类:
其他好文 时间:
2018-04-26 01:16:58
阅读次数:
191
逆向中静态分析工具——IDA初学者笔记之字符串分析 程序中往往包含很多字符串资源,这些资源存在于PE文件的rdata段,使用IDA反编译后,可以查找到这些字符串, 逆向破解程序通常需要一个突破点,而这个突破点,往往就是一个Messagebox,因为这个Messagebox可以很直观的 让我们知道当前 ...
分类:
其他好文 时间:
2018-04-26 01:14:39
阅读次数:
203
usernginxnginx;Nginx用户及组:用户组。window下不指定worker_processes8;工作进程:数目。根据硬件调整,通常等于CPU数量或者2倍于CPU。error_loglogs/error.log;error_loglogs/error.lognotice;error_loglogs/error.loginfo;错误日志:存放路径。pidlogs/nginx.pid;
分类:
其他好文 时间:
2018-01-16 18:02:44
阅读次数:
158
关于Dll Dll。Exe 都是PE格式的二进制文件。Dll相当于Linux操作系统下的so文件 1 基地址(Base Address)和相对地址(RelativeVirtual Address) 基地址(BaseAddress)和相对地址(Relative Virtual Address)是PE文 ...
分类:
其他好文 时间:
2018-01-14 13:49:23
阅读次数:
214
内容引用自:看雪《逆向工程原理》,http://www.blogfshare.com/pe-header-one.html 。如有错误,欢迎留言。 1、 区块表(节表) 区块表紧跟在PE头后面,所有区块的属性都被定义在区块表中。区块表中的数据仅仅是因为属性相同被放到一起,对程序的各种方法、数据的追溯 ...
分类:
其他好文 时间:
2017-11-10 01:40:37
阅读次数:
169
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么 ...
分类:
其他好文 时间:
2017-11-07 19:54:47
阅读次数:
288
