peb

  1. Marylin

    Статья DLL Inject [2] - выселяем из РЕ-файлов непрошеных гостей

    Шпионское ПО активно использует различные методы внедрения своих библиотек, чтобы скрыться в легитимных процессах системы. После внедрения удалить такую DLL довольно проблематично, если только не завершить процесс целиком. Однако имеется нюанс, при помощи которого всё-таки можно попытаться...
  2. Marylin

    Статья ASM. Секреты эксплуатации структуры PEB

    Аббревиатура РЕВ подразумевает «Process Environment Block», или блок окружения исполняемого процесса. Он издавна притягивал взоры исследователей кода, т.к. хранит недоступную с пользовательского уровня, ядерную часть нашей программы. Размер этого блока на 64-битных системах равен 0x380=896 байт...