程序分析理论-angr

论文（State of）The Art of War: Offensive Techniques in Binary Analysis介绍ppt

通过VAD树枚举进程DLL(通过processID)

通过VAD树枚举进程DLL，VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息

绕过PE文件地址随机化

通过修改分析PE文件中的属性，修改地址随机化标志，并对PE文件进行重建，绕过ＰＥ文件地址随机化，方便逆向时地址的分析

win7 64位 ssdthook

通过hook内核中ssdt表中的ntopenprocess函数，标号为35，可通过遍历ssdt表查找得知，可实现进程保护。 适用系统：win7 64，需关闭驱动签名保护 编程工具：vs2012+wdk8.0