什么？你连这都不会还学免杀？之「API动态解析」

文章预览

    本文来自黑客在思考团队鬼屋女鬼，在写代码的时候，我们经常会使用到API动态解析这样的代码，本文把基础到应用的相关内容写的十分详细，是一篇好文，供大家学习。                       ——菊花哥（恩师小天天）点评 一、前言     导入地址表（IAT）包含有关PE文件的信息，操作系统在可执行文件启动时动态加载。例如使用的函数和导出函数的DLL，此类信息常被AV/EDR用来对二进制文件进行签名以及检测，例如，内存操作（VirtualAlloc、VirtualProcect）和线程操作函数（CreateRemoteThread）以及键盘记录器（SetWindowsHookEx）等等。     如下图，下图展示了常规进程注入的二进制文件的导入地址簿，PE文件导入被认为是高度可疑的函数，因此，AV/EDR可以使用此信息来标记为 进程注入 等。 可以直接使用 dumpbin 查看文件导入表 dumpbin /import xxxxx.exe ………………………………