|
[求助]如何校验内存中的dll是否被篡改?
我这里的模拟加载指的是: 把DLL的PE文件数据以普通方式或映射方式读进内存,(可以不用实施节数据按内存对齐,只要读入PE文件的原始数据)然后重定位PE文件数据,重定位选择的基地址为:PE加载器加载的DLL模块基地址。然后你就可以对DLL模块的代码进行校验的。当然如果你想模拟加载的更像一点,就把各个PE节移动到内存对齐,然后调用入口函数,最后再代码校验。 |
|
[求助]如何校验内存中的dll是否被篡改?
如果现在硬盘上的dll文件已经消失了,那除非你知道系统或内存什么地方还有这个DLL文件数据的备份,不然似乎不太可能校验DLL代码是否被修改了! |
|
问一个问题,将内核文件映射到内存之后获取未导出函数的地址。
ntoskrnl.exe 模块不一定就是加载了ntoskrnl.exe文件,因为ntoskrnl.exe模块还可以加载ntkrnlmp.exe文件作为ntoskrnl.exe 模块,还有也可以选择其他的ntoskrnl.exe 模块文件。你只要找到导出表的原始导出模块名:ntoskrnl.exe 的PE文件,那它就有可能被加载为ntoskrnl.exe 模块,所以分析ntoskrnl.exe 模块就要找到对应的PE文件 先! |
|
[原创]本人看中的两只股票小涨.
那东西需要有内部消息。泡沫的圈钱赌场!最终钱全部被操纵股票的大户圈走了。 |
|
[求助]如何校验内存中的dll是否被篡改?
我觉得思路很简单,我们也就模拟加载一下PE文件甚至我不需要内存对齐,PE节也不用按PE映像内存对齐粒度对齐,我们只需要:把PE文件数据读入内存,然后直接可以用任何基地址模拟加载,当然为了代码检查,我们需要选择DLL被加载的基地址进行模拟加载咯! |
|
[已解决][求助]内存卡被加密如何破解
那么巧!我现在U盘文件全部被隐藏起来了,打开以后什么文件都没有看到,但是属性里磁盘容量和使用情况没有多大变化。用一些磁盘工具可以提起U盘数据。现在的病毒怎么喜欢上搞隐藏了! |
|
[求助]如何校验内存中的dll是否被篡改?
只要知道是哪个DLL文件位置,就可以模拟加载这个DLL,然后进行数据比较。模拟加载过程中,基地址就用已经加载的DLL基地址。这样只要不是dll运行过程中自己修改映像中的数据,那就可以校验dll代码是否被修改。正好我这几天也在想这个问题,不过我是想校验内核的代码。Ring3下的系统dll代码校验,我之前做过了。 |
|
[原创]Ring3转入Ring0跟踪
其实我更关心进入内核里的第一条指令到NtCreateFile函数入口之间的这段汇编指令,因为这段代码可以被任何进程的线程运行。 |
|
[创业型(大公司背景)招人]Windows内核开发--欢迎大牛、小牛、安全行业等童鞋(6-20K,能力出众另议)
加了: 1418130832 这个QQ了 |
|
[求助]求职很难,软件工作就这么难找吗?
软件这行业,我个人认为只能让我们当业余来“玩”! |
|
[分享]发一个邀请码 有缘的拿去
不知道邀请码是做什么用的? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值