如何将C语言驱动开发内核特征码扫描PE代码段的功能改写成长尾?
- 内容介绍
- 文章标签
- 相关推荐
本文共计2625个文字,预计阅读时间需要11分钟。
目录+正文+特征码字符串解析与扫描实现+UtilLySharkSearchPattern如何定位特征+RtlImageNtHeader对其PE头部解析+正文+在笔者的文章《驱动开发:内核特征码搜索函数封装》中为定位特征提供了解析+正文
目录
- 正文
- 特征码字符串解析与扫描实现
- UtilLySharkSearchPattern如何定位特征
- RtlImageNtHeader对其PE头部解析
正文
在笔者上一篇文章《驱动开发:内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数,该定位函数其实还不能算的上简单,本章LyShark将对特征码定位进行简化,让定位变得更简单,并运用定位代码实现扫描内核PE的.text代码段,并从代码段中得到某个特征所在内存位置。
老样子为了后续教程能够继续,先来定义一个lyshark.h头文件,该头文件中包含了我们本篇文章所必须要使用到的结构体定义,这些定义的函数如果不懂请去看LyShark以前的文章,这里就不罗嗦了。
本文共计2625个文字,预计阅读时间需要11分钟。
目录+正文+特征码字符串解析与扫描实现+UtilLySharkSearchPattern如何定位特征+RtlImageNtHeader对其PE头部解析+正文+在笔者的文章《驱动开发:内核特征码搜索函数封装》中为定位特征提供了解析+正文
目录
- 正文
- 特征码字符串解析与扫描实现
- UtilLySharkSearchPattern如何定位特征
- RtlImageNtHeader对其PE头部解析
正文
在笔者上一篇文章《驱动开发:内核特征码搜索函数封装》中为了定位特征的方便我们封装实现了一个可以传入数组实现的SearchSpecialCode定位函数,该定位函数其实还不能算的上简单,本章LyShark将对特征码定位进行简化,让定位变得更简单,并运用定位代码实现扫描内核PE的.text代码段,并从代码段中得到某个特征所在内存位置。
老样子为了后续教程能够继续,先来定义一个lyshark.h头文件,该头文件中包含了我们本篇文章所必须要使用到的结构体定义,这些定义的函数如果不懂请去看LyShark以前的文章,这里就不罗嗦了。