今天做了一個讀取PE文件導出表的小程序，用來學習。 　　參考了《Windows PE權威指南》一書。 　　首先， PE文件的全稱是Portable Executable，可移植的可執行的文件， ...

@author: dlive TLS （Thread Local Storage 線程局部存儲 ）回調函數常用於反調試。 TLS回調函數的調用運行要先於EP代碼執行，該特性使它可以作為一種反調試技 ...

@author: dlive IAT Hook時如果要鈎取的API不在IAT中(LoadLibrary后調用)，則無法使用該技術。而Inline Hook不存在這個限制。 0x01 Inline ...

簡介 鍵盤記錄功能一直是木馬等惡意軟件窺探用戶隱私的標配，那么這個功能是怎么實現的呢？在Ring3級下，微軟就為我們內置了一個Hook窗口消息的API，也就是SetWindowsHookEx函 ...

@author:dlive ASLR address space layout randomization 微軟從windows vista/windows server 2008（kernel ...

簡介 在Windows系統中有一個系統服務控制器，叫做SVCHost.exe，它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服務運行 ...

@date: 2016/11/29 @author: dlive 0x01 運行時壓縮 對比upx壓縮前后的notepad可以看到如下特點 PE頭的大小一樣 節區名稱改變（.text ...