鼹鼠的土豆
这家伙很懒,什么也没写
Ta上传的资源 (0)
通过VAD树枚举进程DLL通过processID
通过VAD树枚举进程DLL,VAD(Virtualaddressdescriptor)是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
绕过PE文件地址随机化
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化,方便逆向时地址的分析
程序分析理论angr
论文(Stateof)TheArtofWar:OffensiveTechniquesinBinaryAnalysis介绍ppt
win764位ssdthook
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。适用系统:win764,需关闭驱动签名保护编程工具:vs2012+wdk8.0