星綻紫輝(rawdata)的Blog

摘要: 權作筆記。

如果要將某個dll注入PE文件（不需要裝載dll和運行PE）,只需要拷貝原來的Import表，然后復制該表到文件對齊間隙區，然后在后面寫入自定義的dll結構。一般新加的結構為0x14長，這個結構對應的值都是RVA,通過RVA計算出RAW,該RAW對應的便是dll名字，序數，偏移地址等信息（可以先從dll的export表中讀取所以導出函數信息再寫入PE文件，export表的結構比Import表更簡單）。
閱讀全文

posted @ 2009-03-06 10:29 星綻紫輝閱讀(2022) | 評論 (2) | 編輯收藏

如何將.spl剝離成.emf文件格式

摘要: 關鍵字: 打印 SPL EMF 文件格式

問題：
Windows的假脫機打印會在Windows\System32\spool\PRINERS目錄下生成.spl和.shd文件，其中的打印內

容存貯在.spl文件中，但是.spl文件格式似乎未公開，那么如何才能將未知的.spl文件剝離成.emf文件呢？
閱讀全文

posted @ 2009-02-23 10:08 星綻紫輝閱讀(8162) | 評論 (10) | 編輯收藏

如何卸載 IP GUARD 2.82.0824 客戶端

摘要: IP Guard客戶端在XP下無法直接卸載，而且其監控功能非常強大和全面，但是特別令人不舒服：所有的操作都被服務器端一覽無遺，而且只有第一個服務器才能卸載對應的客戶機。

分析IP Guard 的安裝程序包，發現類似于inno的打包方式，用PEID偵測，果然是用inno打的包，而且沒有任何的加密措施。

閱讀全文

posted @ 2009-02-05 10:32 星綻紫輝閱讀(7334) | 評論 (5) | 編輯收藏

給PE文件增加多個區段(sections)

摘要: 關鍵字: PE 增加區段 section 文件格式

現在我要給一PE文件增加區段(section),但是增加區段后我不希望影響PE文件的正常使用，那么應該怎么

做呢？我寫這個教程的目的，希望能幫學習PE格式，當然也作為我以后參考的筆記。

簡單地說：PE文件和普通文件沒有什么區別，只是存在格式上的差異。另外，當你雙擊某個.exe文件

時，Windows Shell 程序將會嘗試解析文件并運行它的PE代碼。所以第一步，你必須對PE格式比較熟悉?，F在

網上的PE教程我認為最好的就是羅云斌主頁上的匯編教程了，我在這里長話短說，只是討論和我們要解決的

問題相關的方面。
閱讀全文

posted @ 2009-01-20 10:54 星綻紫輝閱讀(3395) | 評論 (13) | 編輯收藏

僅列出標題

星綻紫輝(rawdata)的Blog

常用鏈接

留言簿(5)

我參與的團隊

隨筆檔案(16)

精品文章

喜好鏈接

搜索

最新評論

閱讀排行榜

評論排行榜