今天做了一个读取PE文件导出表的小程序，用来学习。 　　参考了《Windows PE权威指南》一书。 　　首先， PE文件的全称是Portable Executable，可移植的可执行的文件， ...

@author: dlive TLS （Thread Local Storage 线程局部存储 ）回调函数常用于反调试。 TLS回调函数的调用运行要先于EP代码执行，该特性使它可以作为一种反调试技 ...

@author: dlive IAT Hook时如果要钩取的API不在IAT中(LoadLibrary后调用)，则无法使用该技术。而Inline Hook不存在这个限制。 0x01 Inline ...

简介 键盘记录功能一直是木马等恶意软件窥探用户隐私的标配，那么这个功能是怎么实现的呢？在Ring3级下，微软就为我们内置了一个Hook窗口消息的API，也就是SetWindowsHookEx函 ...

@author:dlive ASLR address space layout randomization 微软从windows vista/windows server 2008（kernel ...

简介 在Windows系统中有一个系统服务控制器，叫做SVCHost.exe，它可以用来管理系统的多组服务。它与普通的服务控制不同的是它采用dll导出的ServiceMain主函数实现服务运行 ...

@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变（.text ...