分类: |
  • 1

PE文件的装载过程(4)

作者:admin 日期:2010-02-07

上周毕业答辩,没完成任务,惭愧惭愧。。。。

可选头的最后一部分是DataDirectory字段,这个字段包含了16个IMAGE_DATA_DIRECTORY结构,结构的定义如下:

IMAGE_DATA_DIRECTORY STRUCT

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7974

PE文件的装载过程(3)

作者:admin 日期:2010-02-07

紧接着IMAGE_FILE_HEADER结构的是IMAGE_OPTIONAL_HEADER32结构,这个结构称为可选头, 其中定义了很多重要的信息,可选头的结构如下所示:

 

Code

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8050

PE文件的装载过程(2)

作者:admin 日期:2010-02-07

上一篇讲到PE load程序已经找到了PE文件头,PE文件头的定义如下所示:

 

IMAGE_NT_HEADERS STRUCT

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8804

PE文件的装载过程(1)

作者:admin 日期:2010-02-07

Windows下的可执行文件为PE(Portable Executable File Format/可移植的执行体)格式,文件的组织形式还是比较复杂的,花了大概一个星期的时间终于稍微弄懂了PE文件的装载过程。

PE文件最开始的部分称为DOS头,存在的作用是为了兼容DOS下的可执行程序,DOS头的结构如下:

 

查看更多...

Tags: 文件 pe 格式 资源 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9886

手工加载exe到内存(loadEXE.cpp)

作者:admin 日期:2009-09-28

//*******************************************************************************************************
// [b]loadEXE[/b].cpp : Defines the entry point for the console application.
//
// Proof-Of-Concept Code
// Copyright (c) 2004

查看更多...

Tags: 代码 文件 pe 格式 添加

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 9588

彻底改掉进程名

作者:admin 日期:2009-08-29

写了个改进程名的东西,跟大家分享!技术含量不高,大牛飘过。

先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):

一、EPROCESS中:

查看更多...

Tags: c语言 系统 代码 文件 windows

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12507

手动删除删不掉的文件

作者:admin 日期:2009-08-24

1.覆盖文件再删除。在硬盘的另外区域新建一个和待删文件同名的文件,然后剪切并覆盖待删文件,最后再删除该文件。

  2.请常用软件“兼职”删除。我们可以使用Winrar、FlashFXP、Nero、ACDSee来删除顽固文件,这种方法往往有奇效。使用方法非常简单,以FlashFXP为例,只需在本地目录中浏览到待删文件,对其执行删除操作即可。

  注意:使用Winrar来删除文件的方法跟其它软件不同,步骤如下:右键单击待删除文件或者文件夹,选择“添加到档案文件”菜单,在谈出窗口中勾选“存档后删除源文件”,单击“确定”,这样Winrar在创建压缩文件的同时,也会帮我们删除顽固的文件,我们只需要将创建的压缩文件删除即可。

查看更多...

Tags: 删除 删不掉 文件

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6493
  • 1