星綻紫輝(rawdata)的Blog

摘要: 大家喝的是啤酒，這時你入座了......
　　你給自己倒了杯可樂，這叫低配置。
　　你給自已倒了杯啤酒，這叫標(biāo)準配置。
　　你給自己倒了杯茶水，這茶的顏色還跟啤酒一樣，這叫木馬。
　　你給自己倒了杯可樂，還滴了幾滴醋，不僅顏色跟啤酒一樣，而且不冒熱氣還有泡泡，這叫超級木馬。
閱讀全文

posted @ 2009-03-12 18:51 星綻紫輝閱讀(456) | 評論 (0) | 編輯收藏

淺談靜態(tài)dll注入PE

摘要: 權(quán)作筆記。

如果要將某個dll注入PE文件（不需要裝載dll和運行PE）,只需要拷貝原來的Import表，然后復(fù)制該表到文件對齊間隙區(qū)，然后在后面寫入自定義的dll結(jié)構(gòu)。一般新加的結(jié)構(gòu)為0x14長，這個結(jié)構(gòu)對應(yīng)的值都是RVA,通過RVA計算出RAW,該RAW對應(yīng)的便是dll名字，序數(shù)，偏移地址等信息（可以先從dll的export表中讀取所以導(dǎo)出函數(shù)信息再寫入PE文件，export表的結(jié)構(gòu)比Import表更簡單）。
閱讀全文

posted @ 2009-03-06 10:29 星綻紫輝閱讀(2040) | 評論 (2) | 編輯收藏

如何將.spl剝離成.emf文件格式

摘要: 關(guān)鍵字: 打印 SPL EMF 文件格式

問題：
Windows的假脫機打印會在Windows\System32\spool\PRINERS目錄下生成.spl和.shd文件，其中的打印內(nèi)

容存貯在.spl文件中，但是.spl文件格式似乎未公開，那么如何才能將未知的.spl文件剝離成.emf文件呢？
閱讀全文

posted @ 2009-02-23 10:08 星綻紫輝閱讀(8244) | 評論 (10) | 編輯收藏

如何卸載 IP GUARD 2.82.0824 客戶端

摘要: IP Guard客戶端在XP下無法直接卸載，而且其監(jiān)控功能非常強大和全面，但是特別令人不舒服：所有的操作都被服務(wù)器端一覽無遺，而且只有第一個服務(wù)器才能卸載對應(yīng)的客戶機。

分析IP Guard 的安裝程序包，發(fā)現(xiàn)類似于inno的打包方式，用PEID偵測，果然是用inno打的包，而且沒有任何的加密措施。

閱讀全文

posted @ 2009-02-05 10:32 星綻紫輝閱讀(7397) | 評論 (5) | 編輯收藏

給PE文件增加多個區(qū)段(sections)

摘要: 關(guān)鍵字: PE 增加區(qū)段 section 文件格式

現(xiàn)在我要給一PE文件增加區(qū)段(section),但是增加區(qū)段后我不希望影響PE文件的正常使用，那么應(yīng)該怎么

做呢？我寫這個教程的目的，希望能幫學(xué)習(xí)PE格式，當(dāng)然也作為我以后參考的筆記。

簡單地說：PE文件和普通文件沒有什么區(qū)別，只是存在格式上的差異。另外，當(dāng)你雙擊某個.exe文件

時，Windows Shell 程序?qū)L試解析文件并運行它的PE代碼。所以第一步，你必須對PE格式比較熟悉。現(xiàn)在

網(wǎng)上的PE教程我認為最好的就是羅云斌主頁上的匯編教程了，我在這里長話短說，只是討論和我們要解決的

問題相關(guān)的方面。
閱讀全文

posted @ 2009-01-20 10:54 星綻紫輝閱讀(3447) | 評論 (13) | 編輯收藏

僅列出標(biāo)題

星綻紫輝(rawdata)的Blog

常用鏈接

留言簿(5)

我參與的團隊

隨筆檔案(16)

精品文章

喜好鏈接

搜索

最新評論

閱讀排行榜

評論排行榜