在介绍完PE文件结构以后,接下来要介绍调试API。调试API是系统留给用户进行程序调试的接口,其功能非常强大,在介绍API以前,先来介绍一下OD的使用,OD是强大的用来调试应用程序的工具,在文章中我们也对其进行了简单的介绍,在本章中将通过实例来演示一下OD的强大功能,同样,为了后续的部分比较容易理解...
添加节区在很多场合都会用到,比如在加壳中,都会经常使用到对PE文件添加一个节区。添加一个节区的方法有4个步骤,第1个步骤是在节表的最后面添加一个IMAGE_SECTION_HEADER, 第 2 个步骤是更新IMAGE_FILE_HEADER 中的Nu...
前面介绍了关于PE文件的3种地址,分别是VA、RVA和FILEOFFSET,3种地址的转换如果始终使用手动来计算那是非常的累的,因此通常的做法是借助工具来完成,前面介绍了使用LORDPE来计算这3种地址的转换,现在来编写一个对这3种地址进行转换的工具,该工具如图4-33所示。这个工具是在前两个工具的...
前面的内容介绍了通过编程解析了PE文件格式的基础数据,对于PE文件格式的解析其实并不难,难点在于兼容性。我们从前面的学习中可以看到,在PE文件结构中大多用的都是偏移地址,因此,只要偏移地址和实际的数据相符,那么PE文件格式有可能是嵌套的。也就是说PE文件是可以变形的,只要保证其偏移地址和PE文件格式...
GovRAT恶意软件是一款专门用来攻击政府和公司的电脑系统的,而这个恶意软件的主要的使命就是窃取敏感文件。去年11月,InfoArmor发表GovRAT细节,一个复杂的恶意软件旨在绕开杀毒工具。它通过使用偷来的数字证书,以避免检测。通过GovRAT,黑客可以从受害者的电脑上窃取文件,并且远程执行命令...
俄罗斯电脑黑客渗透到世界反兴奋剂机构的运动员数据库和私人医疗信息公开披露了美国的三个最著名的运动员。本周黑客发布的文件表明,塞雷娜·威廉姆斯,维纳斯·威廉姆斯和西蒙胆汁收到医疗豁免使用违禁药物。antidoping机构确认的文件的真实性,而入侵的这个俄罗斯间谍组织叫做“沙皇的黑客团队。美国反兴奋剂机...
作为网络爱好者,我们中的很多人都有一个黑客梦,就如同多数男孩都有一个武侠梦。黑客们凭借着高超的电脑技术、来无影去无踪的身手,宛如一个个武艺高超,轻功卓越的大侠在我们眼前飘过,令人心驰神往,却又可遇而不可求。和大多数人一样,我们不是上天的宠儿,不会凭借因缘际会而拾到武林秘籍。因此我们也很难通过自己的摸...
黑客Guccifer2.0在周二最新公布的泄漏更多民主党全国委员会的文件。在伦敦的网络安全会议上透露的600兆字节的数据转储包括电子表格似乎表明DNC捐赠者的个人信息,Politico的报道。在DNC,党的选举战略的组织,官员们说,他们知道更多的文档是俄罗斯特工窃取。”“该DNC是一种犯罪行为的受...
一个相对较新的Windows木马能够加载恶意程序到被感染的机器通过USB连接到Android和iOS设备。安全公司报告说,恶意软件的主要目标用户在中国,美国,英国,泰国的个人和组织,西班牙和爱尔兰也受到影响。研究人员发现了超过8000个独特的dualtoy样品。早期的变种只能够感染Android设备...
最近几个月,我们看到rootkit家族Win32/Sirefef和Win64/Sirefef(也称为ZeroAccess僵尸网络)。最近发现SophosLabs,ZeroAccess僵尸网络的重大变化的策略和操作完全在用户模式的记忆。有两种截然不同的ZeroAccess僵尸网络,每个人都有一...
