搜索结果
查询Tags标签: PIMAGE,共有 13条记录-
PE格式: 分析IatHook并实现
Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的,与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook,接下来将具体分析 IAT Hook 的实现原理,并编写一个DLL注入文件,实现 IAT Hook 。 在早些年系…
2022/7/25 23:25:33 人评论 次浏览 -
PE文件结构从初识到简单shellcode注入
本文首发自:https://tttang.com/archive/1553/ 前言 将自己学习的PE文件结构进行总结形成文章这件事情,一直躺在我的Notion TodoList里,但是一直是未完成的状态哈哈,拖了那么久也该让它状态变成已完成了。 PE文件简介 PE文件的全称是Portable Executable,意为可…
2022/6/30 5:21:01 人评论 次浏览 -
GDI+画透明图层(alpha)的png图片
GDI+画透明图层(alpha)的png图片stdafx加入如下:#include <comdef.h>//初始化一下com口 #include "GdiPlus.h" using namespace Gdiplus; #pragma comment(lib,"gdiplus.lib")开始初始化: 在app类的声明里(.h)加入:ULONG_PTR m_gdiplusT…
2022/2/7 23:22:18 人评论 次浏览 -
反调试——7——CRC检测
反调试——7——CRC检测CRC32:CRC的全称是循环冗余校验,作用是为了检测数据的完整性。 CRC32的检测原理:程序被编译后,代码段是固定的,因为已经被写死了。我们在调试程序的时候,打断点或者修改代码都会影响CRC32的值,这个时候只需要检测CRC32的某一时刻值和最初的CR…
2021/10/9 23:40:40 人评论 次浏览 -
反调试——7——CRC检测
反调试——7——CRC检测CRC32:CRC的全称是循环冗余校验,作用是为了检测数据的完整性。 CRC32的检测原理:程序被编译后,代码段是固定的,因为已经被写死了。我们在调试程序的时候,打断点或者修改代码都会影响CRC32的值,这个时候只需要检测CRC32的某一时刻值和最初的CR…
2021/10/9 23:40:40 人评论 次浏览 -
百度未整理获取LG函数
获取 LoadLibrary 与 GetProcAddress 地址直接给出代码:# include<Windows.h># include<stdio.h>/*获取kernel32.dll的基地址因为vc程序main函数之前会有初始化,所以不能通过堆栈栈顶值获取kernel32.dll中的地址因此通过 PEB 结构获取Kernel32.dll基址代码来…
2021/9/10 23:07:23 人评论 次浏览 -
百度未整理获取LG函数
获取 LoadLibrary 与 GetProcAddress 地址直接给出代码:# include<Windows.h># include<stdio.h>/*获取kernel32.dll的基地址因为vc程序main函数之前会有初始化,所以不能通过堆栈栈顶值获取kernel32.dll中的地址因此通过 PEB 结构获取Kernel32.dll基址代码来…
2021/9/10 23:07:23 人评论 次浏览 -
10 在构造函数防止资源泄漏
有以下构造函数和析构函数: BookEntry::BookEntry() : pImage(nullptr) , pClip(nullptr) {pImage = new Image();pClip = new Clip(); } ~BookEntry() {delete pImage;delete pClip; }构造函数在初始化列表将指针pImage、pClip置空,然后在函数内为指针初始化对象。在析…
2021/8/19 23:07:23 人评论 次浏览 -
10 在构造函数防止资源泄漏
有以下构造函数和析构函数: BookEntry::BookEntry() : pImage(nullptr) , pClip(nullptr) {pImage = new Image();pClip = new Clip(); } ~BookEntry() {delete pImage;delete pClip; }构造函数在初始化列表将指针pImage、pClip置空,然后在函数内为指针初始化对象。在析…
2021/8/19 23:07:23 人评论 次浏览 -
WindowsPE TLS表
typedef struct _IMAGE_TLS_DIRECTORY32 {DWORD StartAddressOfRawData;DWORD EndAddressOfRawData;DWORD AddressOfIndex; // PDWORDDWORD AddressOfCallBacks; // PIMAGE_TLS_CALLBACK *DWORD SizeOfZeroFill;union {DWORD Characteristi…
2021/8/2 7:09:23 人评论 次浏览 -
WindowsPE TLS表
typedef struct _IMAGE_TLS_DIRECTORY32 {DWORD StartAddressOfRawData;DWORD EndAddressOfRawData;DWORD AddressOfIndex; // PDWORDDWORD AddressOfCallBacks; // PIMAGE_TLS_CALLBACK *DWORD SizeOfZeroFill;union {DWORD Characteristi…
2021/8/2 7:09:23 人评论 次浏览 -
WindowsPE 导入表
导入表在就是在.rdate 节表当然不绝对导入表在 数据目录 第2个 导入函数在第13个 可以看到rdata 表 起始2000位置 导入表在2538 iat 在2000 这里的rva 地址都要转换为foa 地址 就是 当前rva-初始rva+foa偏移 就是文件物理偏移位置 通过数据找到导入表位置 就是IMAG…
2021/7/31 7:06:07 人评论 次浏览 -
WindowsPE 导入表
导入表在就是在.rdate 节表当然不绝对导入表在 数据目录 第2个 导入函数在第13个 可以看到rdata 表 起始2000位置 导入表在2538 iat 在2000 这里的rva 地址都要转换为foa 地址 就是 当前rva-初始rva+foa偏移 就是文件物理偏移位置 通过数据找到导入表位置 就是IMAG…
2021/7/31 7:06:07 人评论 次浏览