Image-relative Offsets 表示当前模块(镜像)在内存中从image base开始的偏移量。这意味着它们可以用于引用同一模块中的其他位置,而不管其实际的最终加载地址,因此可以用于使代...
PE文件结构:导入表
导入表(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在PE文件运行过程需要依赖哪...
签名窃取原理剖析
PE(Portable Executable File Format)关于PE,查看上图即可。原理剖析注意看上图中PE结构体,在数据目录表(IMAGE_DATA_DIRECTORY)下存在安全(IMA...
PE结构(小甲鱼)学习笔记
PE文件内容被分割为不同的区段(Section),每一区段中可能包含代码或数据。.text 是在编译或汇编结束时产生的一种块,它的内容全是指令代码; .rdata 是运行期只读数据;.data 是初始...
自动化patch shellcode到EXE实现免杀
前言 最近二开CS顺便学习二进制研究之前的工具,看到了很早之前的工具shellter,细看之下感觉虽然是很多年前的工具,但思想完全不输现在的各种loader,核心思路应该是分析PE文件执行流,然后在某...
我希望的圣诞礼物是反射 DLL 注入
All I Want for Christmas is Reflective DLL Injection反射 DLL在实现反射 DLL 及其加载器/注入器的过程中,我认为这是一个很好的开篇主题,适合作...
Patch免杀技术——及自动化的代码(1) 独家
免责声明:本公众号Hex010所提供的所有内容仅限于网络安全研究与学习,旨在为安全爱好者提供技术交流和学习的资源。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损...
QuasarRAT 恶意软件分析报告
介绍QuasarRAT 是一种开源 RAT(远程访问工具/特洛伊木马)。这些工具是为合法目的而构建的,例如访问远程计算机,例如,系统管理员访问办公室计算机。但是,RAT 软件通常用于在未经客户端许可的...
「基础学习」VA与FOA的转换
VA_IMAGE_SECTION_HEADER.VirtualAddressVirtual Address在内存中的虚拟地址RVA_IMAGE_SECTION_HEADER.VirtualAddres...
免杀主题笔记(3)
新增节-添加代码现在有这么一个场景,如果我们需要添加的shellcode过大的话,那么就不能直接加在节区中了,因为空间可能会不够了。1.首先需要更改的是节的数量。将04改为05。2.复制一个现有的节表...
PE逆向-打印导入表
// 滴水三期3.27导入表.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include <iostream>#include <Windows.h...
逆向-打印重定向表
课后3.25作业,打印所有重定向表:实现代码:// 滴水三期3.25.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include <iostream>#i...