码迷,mamicode.com
首页 >  
搜索关键字:lordpe    ( 12个结果
LordPE修复从进程dump出来的内存文件
场景 应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。 解决 LordPE 虚拟内存对齐修复 【Section Table】 每个区段的 VirtualAddress与RawOff ...
分类:系统相关   时间:2019-02-17 23:49:27    阅读次数:418
【PE】手动给PE文件添加一段代码MessageBoxA
源程序是这个样子: 思路: 1、通过LordPE工具拿到所需数据 2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址 3、UE十六进制编辑器定位代码节基址 4、在代码节找到一处空白区 5、写入代码对应的十六进制数据 6、Call到MessageBoxA,Call:E ...
分类:其他好文   时间:2018-05-30 00:25:33    阅读次数:582
用汇编语言给XP记事本添加“自动保存”功能 good
【文章标题】: 用汇编语言给XP记事本添加“自动保存”功能 【文章作者】: newjueqi 【作者邮箱】:zengjiansheng1@126.com 【作者QQ】:190678908 【使用工具】: OD, LordPE,eXeScope【操作平台】: XP-SP2【作者声明】: 本人平时一般的 ...
分类:编程语言   时间:2016-12-08 23:40:08    阅读次数:354
刀锋上前行!绕过Ramint蠕虫病毒直接脱壳
系统 : Windows xp 程序 : 某游戏客户端 程序下载地址 :不提供 要求 : 脱去压缩壳 使用工具 : OD & PEID & LordPE & Import REC 被感染客户端中的是Ramint蠕虫病毒,感染速度非常快,危害相当大。建议在虚拟机环境下进行逆向分析。 相关资料: 本文参 ...
分类:其他好文   时间:2016-05-08 16:34:34    阅读次数:171
简单脱壳教程笔记(7)---手脱PECompact2.X壳
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG壳是一款压缩壳。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:05.手脱PECompact2.X壳.ra...
分类:其他好文   时间:2016-04-10 01:20:03    阅读次数:354
Windbg对过滤驱动DriverEntry函数下断点技巧
方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口...
分类:数据库   时间:2015-10-11 11:26:44    阅读次数:375
crack小实验
本文是按照《0day安全》一书中的实验一步步实现的,对于反汇编也有了新的认识。工具:winxp sp3虚拟机,IDA Pro 6.6,OllyDbg,UltraEditor,VC 6.0,LordPE。因为在win7下面虚拟内存有重定向的问题,不利于分析,因此在虚拟机win xp下面进行实验,win...
分类:其他好文   时间:2015-10-10 17:16:23    阅读次数:335
反病毒工具-LordPE
LordPE简介一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑器.不包括反汇编模块.它名字叫LordPE而不是LoadPE. 其拥有基于最小功能的PE修改方式.对于win32平台下如果不将样本拖到其中分析看看,还叫分析恶意程序吗?可见其非常常用实用....
分类:其他好文   时间:2015-07-24 16:11:49    阅读次数:153
给系统exe程序打补丁
如何给系统的程序打个补丁,让它在退出的时候启动我们的程序了。这里拿XP系统的calc.exe 程序开刀。想要calc.exe能启动自己的程序 必须要有能利用的导入函数, 比如shell32.dll!ShellExecuteA用LordPE工具查看发现calc.exe没有导入表函数shell32.dl...
分类:其他好文   时间:2015-07-15 18:48:29    阅读次数:275
LordPe dump进程内存实现
#include #include #include #include //进程的第一个模块即为进程的 基址 (这里顺便获取进程内存映像的大小) DWORD GetProcessBaseAndImageSize(DWORD dwPID, DWORD *dwImageSize) { HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEEN...
分类:系统相关   时间:2015-06-06 20:51:03    阅读次数:290
12条   1 2 下一页
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!