Windows 网络编程相关汇总

介绍了Inline HOOK的原理，并通过两个例子学习了Inline Hook的用法。一个例子是对本进程的HOOK，另一个例子是对其他进程的HOOK。在对其他进程的HOOK中，演示了如何HOOK CreateProcessW()函数，并且从中学习了如何拦截应用程序进程被创建的过程，又强调了对函数栈平衡的重要性。

Windows 网络编程：调试 API

▼

在Windows中有这么一些API函数是专门用来进行调试的，这些函数被称作为Debug API，或者是调试API。利用这些函数可以进行调试器的开发，调试器通过创建有调试关系的父子进程来进行调试，被调试进程的底层信息、即时的寄存器、指令等信息都可以被获取，进而用来分析。

Windows 网络编程：文件补丁和内存补丁

▼

补丁是指对于大型软件系统（如微软操作系统）在使用过程中暴露的问题（一般由黑客或病毒设计者发现）而发布的解决问题的小程序。人编写程序不可能十全十美的，所以软件也免不了会出现BUG，而补丁是专门修复这些BUG的，因为原来发布的软件存在缺陷，发现之后另外编制一个小程序使其完善，这种小程序俗称补丁。补丁是由软件的原来作者制作的，可以访问网站下载补丁。

添加节区在很多场合都会用到，比如在加壳中，在免杀中都会经常使用到对 PE文件添加一个节区。添加一个节区的方法有4个步骤，第1个步骤是在节表的最后面添加一个IMAGE_SECTION_HEADER，第2个步骤是更新IMAGE_FILE_HEADER中的NumberOfSections字段，第3步是更新IMAGE_OPTIONAL_HEADER中的SizeOfImage字段，最后一步则是添加文件的数据。当然了，前3个步骤是没有先后顺序的，但是最后一个步骤一定要明确如何改变。

Windows 网络编程：地址转换器

▼

PE文件有3种地址，分别是VA（虚拟地址）、RVA（相对虚拟地址）和FileOffset（文件偏移地址）。3种地址的转换如果始终使用手动来计算那是非常累的，因此通常的做法是借助工具来完成。可以使用LordPE来计算这3种地址的转换，现在来编写一个对这3种地址进行转换的工具。

Windows 网络编程：查壳工具

▼

在 PE文件结构中大多用的都是偏移地址，因此，只要偏移地址和实际的数据相符，那么 PE文件格式有可能是嵌套的。也就是说 PE文件是可以变形的，只要保证其偏移地址和 PE文件格式的结构基本就没多大问题。

Windows 网络编程：PE查看器

▼

写PE查看器并不是件复杂的事情，只要按照PE结构一步一步地解析就可以了。简单地解析其中几个字段内容，显示一下节表的信息。

Windows 网络编程：远程线程

▼

关于远程线程的知识，我们从3个例子来学习，一个是DLL的注入，一个是DLL的卸载，一个是不依赖DLL的注入代码，3个例子的原理是一样的。

Windows 网络编程：DLL编程

▼

DLL（Dynamic Link Library，动态链接库）是一个可以被其他应用程序调用的程序模块，其中封装了可以被调用的资源和函数。动态链接库的扩展名一般是.DLL，不过有时也可能是其他的。DLL文件也属于可执行文件，只不过它是依附于EXE文件来被执行的。一个DLL文件可以被多个EXE文件加载。

Windows 网络编程：进程与线程

▼

进程（process）和线程（thread）是操作系统的基本概念，但是它们比较抽象。

Windows 网络编程：启动服务项

▼

服务是一种在操作系统启动时就启动的进程。在操作系统启动时有两种程序会一起随着系统启动，一种是普通的Win32程序，另一种是驱动程序。这里讨论的并不是要如何编写一个系统的服务，而是编写一个如何可以显示出这些随系统启动而启动的服务项。

Windows 网络编程：注册表操作

▼

注册表是 Windows 操作系统的一个重要的数据库，里面记录了系统几乎所有的信息。当然，由于注册表的功能非常强大，因此，注册表对于病毒、木马来说是非常有利用价值的地方。而对于反病毒软件来说，注册表是其需要加强守卫的地方。注册表，是一个正义与邪恶的必争之处。

Windows 网络编程：AutoRun 免疫程序

▼

每当我们打开U盘时，看到有一个AutoRun.inf文件时都会不由地倒吸口凉气，“该死！又中病毒了！”。是的，有一种病毒程序通过AutoRun.inf文件使其自动运行起来，想必这不用做过多的介绍每一位都非常清楚。网上有很多免疫工具，现在一些修改版的操作系统里面也会提供这样一个免疫的小工具。它免疫的原理是建立一个不被删除的文件AutoRun.inf文件夹，以防止病毒生成一个运行病毒的AutoRun.inf。

Windows 网络编程：文件操作

▼

对于操作任何文件，我们最先的操作是对文件的打开，操作结束时为了释放资源要进行关闭。我们依次学习如何使用这些API函数，然后完成一个简单的小例子。从“文件操作”开始，我们要接触MFC方面的编程，但不会很难，都是一些对界面和控件之类的使用。

Windows 网络编程入门实例：C/S模式的简单木马

▼

C/S模式的木马的工作方式和网上聊天的工作方式没什么差别，都是基于 TCP/IP协议的通信，都是在传递信息。不同的是，木马的客户端向服务器端发送的内容是控制命令，服务器端收到控制命令执行相应的功能，并将执行结果反馈给客户端，这就是远程控制。如果客户端加一些隐藏进程，复制自身到系统目录，然后自动启动……那么服务端就是一个木马了。