原文地址http://bbs.pediy.com/showthread.php?t=48590 【文章標題】: 手寫可執行程序 【文章作者】: dncwbc 【作者郵箱】: [email protected] 【作者QQ號】: 1824459
常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改 嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc
一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作
一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock
一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表
一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其
一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏
PE是英文Portable Executable(可移植的執行體)的縮寫,從縮寫可以看出它是跨平臺的,即使在非intel的CPU上也能正常運行的。它是 Win32環境自身所帶的執行體文件格式。其實不光是EXE文件是PE格式,其它的一些重要
http://www.youdzone.com/signature.html 英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign
DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM
DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader
首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致
Tutorial 2: Detecting a Valid PE File In this tutorial, we will learn how to check if a given file is a valid PE file
Tutorial 4: Optional Header We have learned about the DOS header and some members of the PE header. Here's the last,
PE教程7: Export Table(引出表) 上一課我們已經學習了動態聯接中關於引入表那部分知識,現在繼續另外一部分,那就是引出表。 理論: 當PE裝載器執行一個程序,它將相關DLLs都裝入該進程的地址空間。然後根據主程序的引