返回
信息技术安全竞赛题库9

信息技术安全竞赛题库9

ID:22439164

大小:57.50 KB

页数:5页

时间:2018-10-29

信息技术安全竞赛题库9_第1页
信息技术安全竞赛题库9_第2页
信息技术安全竞赛题库9_第3页
信息技术安全竞赛题库9_第4页
信息技术安全竞赛题库9_第5页
资源描述:

《信息技术安全竞赛题库9》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1204-1411基本知识点程序跟踪的基本概念调试器允许用户在程序运行时跟踪它的执行,跟踪意味着程序执行一条代码然后暂停,并允许用户观察甚至改变程序的状态。调试器允许用户在程序运行时跟踪它的执行,跟踪意味着程序执行一条代码然后暂停,并允许用户观察甚至改变程序的状态。调试器允许用户在程序运行吋跟踪它的执行,跟踪意味着程序执行一条代码然后暂停,并允许用户观察甚至改变程序的状态。关于程序跟踪的基本概念,程序跟踪也称为单步跟踪,程序跟踪是为了察看程序执行的过程和状态,调试器在程序跟踪时可以修改程序的状态,程序跟踪是调试器的一个最基木的特征。调试模式用户模式调试器的概念用户模式调试器是

2、一种普通的应用程序,它将自己加在另一个进程之上,并可以完全控制该进程。用户模式调试器是一种普通的应用程序,它将自己加在另一个进程之上,并可以完全控制该进程。用户模式调试器是一种普通的应用程序,它将自己加在另一个进程之上,并可以完全控制该进程。关于用户模式调试器的概念,是一种普通的应用程序,运行在另一个进程之上,并可以控制该进程。用户模式调试器的特点用户模式调试器仅能查看一个进程。用户模式调试器能可以同时查看一个进程。用户模式调试器易于安装和使用,因为它们只是运行于系统之上的另外一个程序。关于用户模式调试器的特点,同时可以查看一个进程,易于安装,运行于操作系统之上,可以调试有设

3、备驱动的程序。内核模式调试器的概念内核模式调试器不是运行在系统之上的程序,因此它只能同时对某个特定进程进行查看。内核模式调试器不是运行在系统之上的程序,它与系统内核处于同等地位,因此能在任意时刻停止整个系统的运行并观察。关于内核模式调试器的概念,和系统内核处于同等地位,能够在任意时刻停止整个系统,可以整个系统的情况。关于内核模式调试器的概念,,和系统内核处于同等地位,能够在任意时刻停止整个系统,可以设置底层断点。内核模式调试器的特点闪核模式可以设置底层断点。关于内核模式的特点,可以设置底层断点,可以调试驱动,可以查看系统整体面貌。关于内核模式的特点,可以设置底层断点,可以查看

4、系统整体面貌,当调试器打开时,系统会一•直处于冻结状态。针对pe的认识PE是PortableExecutableFileFormat(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。Pe的文件格式PE(Hportableexecutable”)文件格式是针对MSwindowsNT,windows95andWin32s的可执行二进制代码(DLLsandprograms)。在windowsNT内,驱动程序也是这个格式,也可以用于对象文件和库。这个格式是Microsoft设计的,并在1993经过T1S(toolinterfacestandard)委员会(Mi

5、crosoft,Intel,Borland,Watcom,IBM等)标准化。它基于在UNIX和VMS上运行的对象文件和可执行文件的COFFHcommonobjectfileformat”格式。壳的加载过程1)获取壳所需要使用的An地址如果用PE编辑工具査看加壳后的文件,会发现未加壳的文件和加壳后的文件的输入表不一样,加壳后的输入表一般所引入的DLL和API函数很少,甚至只有Kernel32.dll以及GetProcAddress这个API函数。壳实际上还需要其他的API函数来完成它的工作,为了隐藏这些API,它一般只在壳的代码中用显式链接方式动态加载这些API函数。2)解密原

6、程序的各个区块(Section)的数据壳出于保护原程序代码和数据的FI的,一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密,以让程序能正常运行。壳一般是按区块加密的,那么在解密时也按区块解密,并且把解密的区块数据按照区块的定义放在合适的内存位置。如果加壳吋用到了压缩技术,那么在解密之前还有一道工序,就是解压缩。这也是一些壳的特色之一,比如说原来的程序文件未加壳时1〜2M大小,加壳后反而只有几百K。3)重定位文件执行时将被映像到指定内存地址中,这个初始内存地址称为基地址(ImageBase)。对于EXE的程序文件來说,Windows系统会尽量满足。例如某

7、EXE文件的基地址为0x400000,而运行时Windows系统提供给程序的基地址也同样是0x400000。在这种情况下就不需要进行地址“重定位”了。由于不需要对EXE文件进行“重定位”,所以加壳软件把原程序文件中用于保存重定位信息的区块干脆也删除了,这样使得加壳后的文件更加小巧。有些工具提供“WipeReloc”的功能,其实就是这个作用。不过对于DLL的动态链接库文件来说,Windows系统没有办法保证每一次DLL运行时都提供相同的基地址。这样“重定位”就很重要了,此时壳中也需要提供进行“重定位”的代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。