存档

文章标签 ‘LordPE’

傀儡进程内存Dump

2012年8月11日 1 条评论

傀儡进程(参见《动态加载并执行Win32可执行程序》),简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapViewOfSection/NtUnmapViewOfSection卸载子进程原有区块,通过VirtualAllocEx在子进程指定的基址分配空间,调用ReadProcessMemory和WriteProcessMemory这样的API来读写子进程空间的内容,调用 VirtualProtectEx修改内存的属性为可读可写可执行,最后调用SetThreadContext/ResumeThread即可让子进程执行恶意代码。

《动态加载并执行Win32可执行程序》提到的是把已知的EXE注入到其他正常的EXE之中,要获取到恶意代码直接拿到恶意的EXE就行了。而如果恶意代码是加密了的呢?[......]

神奇的栈溢出

2011年4月12日 4 条评论

最近,我在写一个简单一点的PE文件分析器,也就是把PE里面的一些信息反馈到界面上面来,界面的话模仿了LordPE的编辑器界面。
我觉得要动手去解析这些结构,才会对PE文件有一个更加深刻的了解。
也许有人会问,什么是PE?PE是Windows下可执行程序的一种格式,PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS, DLL, EXE, COM, OCX等。
作为一个程序员,你可以不了解PE的具体结构,但是如果你能仔细去研究[......]

继续阅读