用户管理相关知识: 1.SID与UID 每台计算机上可以有多个账户,每个账户有一个唯一的SID(安全标识符),我们可以通过whoami /user的DOS命令来获取它: 以上是我在Win2003虚拟机中查看到的SID,里面每个组成部分的含义可以参考: https://www.cnblogs.com/ ...
分类:
其他好文 时间:
2020-07-16 21:36:18
阅读次数:
97
对两个PE文件进行对比分析: 可以发现,对各个结构体进行了重叠。首先观察PE头,DOS存根被省掉。 从3C地址处,找到NT头地址,在10H处。即DOS头和NT头进行了重叠。 文件头倒数第二个元素(SizeOfOptionalHeader)的值为148H。 由值10B找到可选头,下面一行即为Entry ...
分类:
其他好文 时间:
2020-07-16 00:19:24
阅读次数:
67
1.服务器操作系统版本 Windows服务器操作系统:win2000 win2003 win2008 win2012 Linux服务器操作系统:Radhat Centos 2.服务器用户和组管理 学习用户管理主要是为了设置不同的权限。 每个账户有自己唯一的SID(安全标识符) S-1-5-21-42 ...
函数调用约定 函数调用约定,就是函数调用时如何传递参数的一种约定。 *栈的大小记录在pe头中。 主要的函数调用约定如下: cdecl stdcall fastcall 1.cdecl cdecl主要是C语言中使用的方式,调用者负责处理栈。 这里书本上给了一段代码: #include<stdio.h> ...
分类:
其他好文 时间:
2020-07-13 13:57:10
阅读次数:
49
Hi everyone! My name is Yuwei, and I'm a senior major in computer science. I enjoy meditation and jogging, and I feel like my soul is in a state of pe ...
分类:
其他好文 时间:
2020-07-11 10:08:34
阅读次数:
97
主要步骤: 1.将要加载的文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE ...
分类:
其他好文 时间:
2020-07-10 09:17:51
阅读次数:
84
Windbg用户模式下,非托管代码,可以直接用bp命令设置断点。调试.Net 应用程序相对于非托管程序,要麻烦一些。因为.NET源码在编译的时候,首先是编译成IL文件,程序运行的时候,通过Load加载PE文件,然后JIT编译器负责将IL代码编译为汇编指令,然后执行。JIT编译器编译过后,就可以像非托 ...
分类:
数据库 时间:
2020-07-07 17:28:56
阅读次数:
69
PE重定位 使得硬编码在程序中的内存地址随当前加载地址的变化而变化就是PE重定位. 若不添加重定位,而加载时内存地址被占用,则会出现"内存地址引用错误",使得程序异常终止. PE重定位的操作原理: 查找硬编码地址需要用到重定位表(Relocation Table),它是记录硬编码地址偏移的列表.是P ...
分类:
其他好文 时间:
2020-07-06 20:22:47
阅读次数:
58
PE文件加载带内存中的时候 都存在文件到内存的映射 RVA 相对虚拟地址 当文件到内存的映射关系如下时 1.当RVA相对偏移地址为5000时,求文件偏移 5000-1000(因为在第一个节区)+400 公式 ...
分类:
其他好文 时间:
2020-07-06 11:20:32
阅读次数:
54
个人喜好,仅供参考! 【windows环境】 1、装windows,Rufus 或者 微PE 2、装linux,Rufus 【linux环境】 1、装windows,WoeUSB ubuntu20.04可能无效,因为它依赖的包适合低版本。 2、装linux,UNetbootin ...
分类:
其他好文 时间:
2020-07-05 17:47:45
阅读次数:
82
