最近在寫一些東西,發現對記憶體的搜尋是一種比較有效獲取資訊的方法,於是乎就有了下文:
上圖是 反彙編 ntfs.sys 中的分發函式設定的部分,通過上邊的操作,程式執行初始化,再看下圖,是它在記憶體布局:
我們發現,方法函式再記憶體中的布局,是有一定的規律的 都是 c7 46 開頭,然後是 4個位元組的 xx xx xx xx 的形式,
那麼,如果我們得到了這個程式在記憶體中的基址,我們就可以對一段記憶體進行搜尋,得到我們想要的資訊,這個基址就是
pe 檔案的可選頭的 imagebase 項,從這開始搜尋程式的所占有的記憶體單元,找到開頭是 c7 46 xx xx xx xx 的內容。。。
何時作為結束的標誌: 0xb9b8, 可以看到最後的資料。。。。
對Linux inode的一些理解
檔名 inode device block 一 inode是什麼?理解inode,要從檔案儲存說起。檔案儲存在硬碟上,硬碟的最小儲存單位叫做 扇區 sector 每個扇區儲存512位元組 相當於0.5kb 作業系統讀取硬碟的時候,不會乙個個扇區地讀取,這樣效率太低,而是一次性連續讀取多個扇區,即一次...
對棧的一些理解
之前總結過一篇有關函式棧幀的部落格 函式棧幀以及呼叫約定相關的一些總結 但是感覺自己還是有一點知識點沒有弄懂,今天中午跟郭哥吃過飯一起 有關殼的問題的時候,順便把這個問題請教了一下郭哥,終於弄明白了,在此要特地感謝他,這裡把一些心得體會寫出來 先看一幅圖 選自ida權威指南 注意圖中是基於esp的棧...
對EK的一些理解
首先是網路流問題的提出 乙個源點,乙個匯點,不斷又源點向匯點輸送,其中路徑上有最大速度,求匯點收貨的最大速度是多少。在求之前可以先模擬一下過程如果源點現在只能出乙個單位的貨,那麼他會找乙個未達到最大速度的路進行運輸,接著我們不斷將運輸的量放大,即不斷地從起點開始尋找增廣路,每次都對其進行增廣,直到源...