通过 PEB 隐藏导入表
有时候分析样本查看不到其中的导入表,可是没有导入表如何调用系统函数呢?这有可能是通过TEB、PEB动态获取,达到隐藏的目的。主要原理是通过FS:[0x30]所指向的PEB结构体入手,得到ntdll.dll或kernel32.dll的基址。如下新建一个最简单的控制台程序,release编译。可以看到VC.dll、KERNEL32.dll和其他一些系统函数,其中VC和系统函数可以去掉。...
