No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
【技术分享】Hook_IAT实现调包Win32API函数
说明 如何调包Win32API函数?其实就是HookPE文件自己的IAT表。 PE文件在加载到内存后,IAT中存储对应函数名(或函数序号)的地址,所以我们只需要把用作替换的函数地址,覆盖掉IAT中对应...
Windows PE 文件头解析
0x01 PE文件基本介绍 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作...
海莲花glitch样本去混淆
本文为看雪论坛优秀文章看雪论坛作者ID:Tangdouren一去混淆思路奇安信的报告《使用和海莲花相似混淆手法的攻击样本分析》[1]中分析了一个和APT32使用相同混淆方法的样本。本文根据奇安信的报告...
PE文件结构解析2
0x0导读 上一篇文章把Dos头,Nt头,可选头里的一些成员说过了(文章链接:[PE文件结构解析1-SecIN (sec-in.com)]),今天主要讲的内容是,Rva(内存偏移)转换Foa(文件偏移...
PE文件结构解析4
导读 本文主要介绍了导入表相关内容,涉及到C语言中结构体指针和pe文件结构相关知识。 导入表简介 导入表用于记录当前exe或dll需要用到哪些dll和哪些函数,举个例子,去饭店吃饭,通常会有一份菜单,...
PE文件结构解析3
0x0导读 今天的内容是pe文件结构的导出表,和如何使用代码打印出导出表。 0x1环境 编译器:VirsualStudio2022 16进制查看工具:winhex 0x2导出表 0x1导出表是啥 导出...
shellcode分析技巧
概述0x00一般情况下shellcode会首先通过PEB定位到_PEB_LDR_DATA(+0xC)结构,然后从该结构中取出一条链表,可以是InLoadOrderModuleList(+0xC)可以是...
手把手教你HACK二进制固件引导文件
壹、前言本文主要讲述如何通过新增区块来修改PE32+的二进制固件引导文件。贰、相关知识PE32+是PE文件的64位版本。PE文件就是指Windows里的DLL与EXE文件,PE的意思就是 Portab...
二进制科普系列之:如何修改固件引导文件
壹、前言本文主要讲述如何通过新增区块来修改PE32+的二进制固件引导文件。贰、相关知识PE32+是PE文件的64位版本。PE文件就是指Windows里的DLL与EXE文件,PE的意思就是 Portab...