[2005.1月话题]保护模式与 PE Loader 行为研究-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (41) ◀ 1 2
vifun 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	vifun 1 2005-1-9 11:44 26 楼 0 插一句嘴，楼主的讨论是不是谈在PE还没有被load，到最后被load到物理内存的过程啊？回复的帖子好像都在说PE被load了以后的运行细节，跟论题不符啊。感觉楼主不会叫大家谈书本上的已有教条的。如果误解了，请大家见谅^_^
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-9 20:12 27 楼 0 谁有空顺便把TLS说一下，和相关原理？
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 2005-1-9 20:42 28 楼 0 Inside windows2000 进程线程那一章比较适合回答这个问题。其实还是跟踪CREATEPROCESS来的
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-10 17:53 29 楼 0 是R，据说用SICE从createprocess上下处跟就可以。N年前的破解者就用这方法定位在程序的入口
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2005-1-12 22:33 30 楼 0 进程切换没有用任务切换的方法，我想应该是基于效率的考虑
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2005-1-12 22:39 31 楼 0 2000的pe loader和xp、2003的有点差别，据说如果pe文件没有import table或者import table里不含kernel32.dll，2000的pe loader会报错，而xp、2003的可以正常装入
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-13 12:55 32 楼 0 http://dev.csdn.net/Develop/article/14/14495.shtm
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 461 粉丝 4 关注私信	doskey 4 2005-1-14 13:06 33 楼 0 虫虫同学，俺又看见你了:D :D
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2005-1-15 12:58 34 楼 0 doskey在家开心吧.幸福哦幸福哦. 过几天我要变毛毛虫了.
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 2005-1-16 17:10 35 楼 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2005-1-17 10:49 36 楼 0 最初由 lictz 发布 http://dev.csdn.net/Develop/article/14/14495.shtm 说实话，这篇文章写得真差劲
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-17 14:26 37 楼 0 N多人说是：“shell调用CreateProcess”，我怎么拦不到这个函数？只能拦截loadlibrary
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 2005-1-17 14:38 38 楼 0 最初由 nbw 发布 N多人说是：“shell调用CreateProcess”，我怎么拦不到这个函数？只能拦截loadlibrary 自己调 WinExec("G:\\windows\\notepad.exe",SW_SHOW); 或 SheelExecute
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-18 09:02 39 楼 0 最初由 dREAMtHEATER 发布说实话，这篇文章写得真差劲老大差劲再什么地方说清楚呀要不菜鸟怎么学习呀我跟了一下winexec 是调用的createprocess ――〉createprocessinternalA――〉kernel里边别的函数我的是win2000server 大家怎么不讨论呀怎么都藏着掖着
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2005-1-18 11:32 40 楼 0 我的意思是差劲是指内容空泛，没有什么实质性的可借签的东西，当然感觉因人而异，不要认为我说得就对，适合你的就是好的
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-18 12:22 41 楼 0 最初由 dREAMtHEATER 发布我的意思是差劲是指内容空泛，没有什么实质性的可借签的东西，当然感觉因人而异，不要认为我说得就对，适合你的就是好的我还以为他说的内容错了那
simonzh2000 雪币： 396 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 463 粉丝 5 关注私信	simonzh2000 24 2005-4-4 23:56 42 楼 0 最初由 nbw 发布谁有空顺便把TLS说一下，和相关原理？我写的有关 TLS 的文章 http://bbs.pediy.com/showthread.php?s=&threadid=12532
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (41) ◀ 1 2
vifun 雪币： 208 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	vifun 1 2005-1-9 11:44 26 楼 0 插一句嘴，楼主的讨论是不是谈在PE还没有被load，到最后被load到物理内存的过程啊？回复的帖子好像都在说PE被load了以后的运行细节，跟论题不符啊。感觉楼主不会叫大家谈书本上的已有教条的。如果误解了，请大家见谅^_^
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-9 20:12 27 楼 0 谁有空顺便把TLS说一下，和相关原理？
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 2005-1-9 20:42 28 楼 0 Inside windows2000 进程线程那一章比较适合回答这个问题。其实还是跟踪CREATEPROCESS来的
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-10 17:53 29 楼 0 是R，据说用SICE从createprocess上下处跟就可以。N年前的破解者就用这方法定位在程序的入口
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2005-1-12 22:33 30 楼 0 进程切换没有用任务切换的方法，我想应该是基于效率的考虑
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2005-1-12 22:39 31 楼 0 2000的pe loader和xp、2003的有点差别，据说如果pe文件没有import table或者import table里不含kernel32.dll，2000的pe loader会报错，而xp、2003的可以正常装入
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-13 12:55 32 楼 0 http://dev.csdn.net/Develop/article/14/14495.shtm
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 461 粉丝 4 关注私信	doskey 4 2005-1-14 13:06 33 楼 0 虫虫同学，俺又看见你了:D :D
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2005-1-15 12:58 34 楼 0 doskey在家开心吧.幸福哦幸福哦. 过几天我要变毛毛虫了.
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 2005-1-16 17:10 35 楼 0
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2005-1-17 10:49 36 楼 0 最初由 lictz 发布 http://dev.csdn.net/Develop/article/14/14495.shtm 说实话，这篇文章写得真差劲
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-1-17 14:26 37 楼 0 N多人说是：“shell调用CreateProcess”，我怎么拦不到这个函数？只能拦截loadlibrary
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 2005-1-17 14:38 38 楼 0 最初由 nbw 发布 N多人说是：“shell调用CreateProcess”，我怎么拦不到这个函数？只能拦截loadlibrary 自己调 WinExec("G:\\windows\\notepad.exe",SW_SHOW); 或 SheelExecute
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-18 09:02 39 楼 0 最初由 dREAMtHEATER 发布说实话，这篇文章写得真差劲老大差劲再什么地方说清楚呀要不菜鸟怎么学习呀我跟了一下winexec 是调用的createprocess ――〉createprocessinternalA――〉kernel里边别的函数我的是win2000server 大家怎么不讨论呀怎么都藏着掖着
dREAMtHEATER 雪币： 255 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 313 粉丝 1 关注私信	dREAMtHEATER 2005-1-18 11:32 40 楼 0 我的意思是差劲是指内容空泛，没有什么实质性的可借签的东西，当然感觉因人而异，不要认为我说得就对，适合你的就是好的
lictz 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 60 粉丝 0 关注私信	lictz 2005-1-18 12:22 41 楼 0 最初由 dREAMtHEATER 发布我的意思是差劲是指内容空泛，没有什么实质性的可借签的东西，当然感觉因人而异，不要认为我说得就对，适合你的就是好的我还以为他说的内容错了那
simonzh2000 雪币： 396 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 463 粉丝 5 关注私信	simonzh2000 24 2005-4-4 23:56 42 楼 0 最初由 nbw 发布谁有空顺便把TLS说一下，和相关原理？我写的有关 TLS 的文章 http://bbs.pediy.com/showthread.php?s=&threadid=12532
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复