零基础逆向工程39_Win32_13_进程创建_句柄表_挂起方式创建进程】的更多相关文章

零基础逆向工程39_Win32_13_进程创建_句柄表_挂起方式创建进程

1 进程的创建过程 打开系统 --> 双击要运行的程序 --> EXE开始执行 步骤一: 当系统启动后,创建一个进程:Explorer.exe(也就是桌面进程) 步骤二: 当用户双击某一个EXE时,Explorer 进程使用CreateProcess函数创建被双击的EXE,也就是说,我们在桌面上双 击创建的进程都是Explorer进程的子进程. CreateProcess BOOL CreateProcess( LPCTSTR lpApplicationName, // name of exe…

零基础逆向工程25_C++_02_类的成员权限_虚函数_模板

1 类的成员权限 1.1 小结: 1.对外提供的函数或者变量,发布成public的 但不能随意改动. 2.可能会变动的函数或者变量,定义成private的 这样编译器会在使用的时候做检测. 3.只有结构体内部的函数才可以访问private的成员. 4.public/private可以修饰函数也可以修饰变量. 5.将定义与实现分离,代码会有更好的可读性. 1.2 一些问题 1.private真的不能访问吗 答:可以,可以用指针来访问. 2.private是否被继承 答:父类中的私有成员是会被继承的…

零基础逆向工程23_PE结构07_重定位表_IAT表(待补充)

重定位表 待补充 IAT表 待补充…

零基础逆向工程20_PE结构04_任意节空白区_新增节_扩大节添加代码

向代码节添加代码实现 作者经过一周不断的失败,再思考以及无数次调试终于实现. 思路:八个步骤 1. 文件拷到文件缓冲区(FileBuffer) //图示见(零基础逆向工程18之PE加载过程) 2. 文件缓冲区扩展到内存映像缓冲区(ImageBuffer) 3. 判断代码空闲区是否有足够空间存储ShellCode代码 4. 将代码复制到空闲区 5. 修正E8 6. 修正E9 7. 修改OEP 8. 内存映像缓冲区到新文件缓冲区(NewBuffer) 9. 新文件缓冲区到文件 向其他节(如数据段)空…

【布艺DIY】 零基础 做包包 2小时 就OK!_豆瓣

[布艺DIY] 零基础 做包包 2小时 就OK!_豆瓣 [布艺DIY] 零基础 做包包 2小时 就OK!…

EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路. 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 <深入解析windows操作系统(第4版,中文版)> --- 潘…

win32进程概念之句柄表,以及内核对象.

句柄表跟内核对象 一丶什么是句柄表什么是内核对象. 1.句柄表的生成 我们知道.我们使用CreateProcess 的时候会返回一个进程句柄.以及线程句柄. 其实在调用CreateProcess的时候.内核中会新建一个EPROCESS结构来存储我们的进程信息. 例如如下图: 但是有一个问题.怎么给三环使用.难道直接返回EPROCESS? 其实不是这样的. 第一EPROCESS在高两G. 三环程序是不可以访问的.所以返回的地址是高两G所以不能使用. 但是为了解决这一问题. windows创建了一个…

零基础逆向工程36_Win32_10_互斥体_互斥体与临界区的区别

1 引言 讲了第二个内核对象,互斥体.前面已经学过一个内核对象,线程.这节讲两个函数,WaitForSingleObject()和WaitForMultipleObjects().因此这两个函数是根据内核对象的状态来进行操作的. 临界区:一个进程里面对线程进行互斥的控制. 互斥体:实现跨进程的互斥的控制.多个进程抢同一个全局变量,怎样保证最终只有一个进程来用. 2 ForSingleObject() DWORD WaitForSingleObject( HANDLE hHandle, // ha…

零基础逆向工程28_Win32_02_事件_消息_消息处理函数

1 第一个图形界面程序 步骤1:创建Windows应用程序 选择空项目 步骤2:在新建项窗口中选C++代码文件 创建一个新的cpp文件 步骤3:在新的cpp文件中添加:#include <Windows.h> 并添加入口函数: int CALLBACK WinMain( CALLBACK 是一个宏 _In_ HINSTANCE hInstance, #define CALLBACK __stdcall _In_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmd…

salesforce零基础学习(一百一十一)custom metadata type数据获取方式更新

本篇参考: https://developer.salesforce.com/docs/atlas.en-us.234.0.apexref.meta/apexref/apex_methods_system_custom_metadata_types.htm https://trailhead.salesforce.com/en/content/learn/modules/platform-developer-i-certification-maintenance-winter-22/learn-…