+1 รบกวนด้วยครับ สนใจเช่นกัน

search google ครับ /me โดนตบ

อธิบายย่อๆให้

Virtual Address Space
มองว่าเป็น address ของโปรแกรมแต่ละโปรแกรม
โดยเริ่มที่ 0x00000000 จนไปถึง 0xFFFFFFFF (ขึ้นอยู่กับระบบปฏิบัติการ)
ข้างในจะมีหลายส่วน
เช่น
PE header บอกว่า code โปรแกรมเราอยู่ไหน data อยู่ไหน
ส่วน code section สำหรับ ให้โปรแกรมทำงาน เช่นจะเอาค่าอะไรใส่ register ตัวไหน
jmp ไปไหนอะไรแบบนี้

Kernel space และ User space
แต่ละ mode มันจะมีสิทธิ์ให้ cpu ทำงาน(เรียกใช้ instruction)
ได้ไม่เท่ากันเวลาเราเรียก win32api ส่วนใหญ่มันก็จะสลับเข้าไปทำงานที่ kernal mode(Ring 0)
แปลว่าโปรแกรมที่มันรันๆอยู่มันสลับไปสลับมาระหว่าง user mode กับ kernel mode อยู่แล้ว

PE format google โลด

IAT (Import address table) เก็บ address ของ function ต่างๆที่โปรแกรมจะเรียกใช้ ซึ่งมันมีบ่ครบฮ่วย
DLL Injection, CreateRemoteThread
CreateRemoteThread คือการสร้าง thread ใน process อื่น (Remote ไง ^^")
พอสร้าง thread ได้เราก็ LoadLibrary dll ของเรานั่นแหละเข้าไปทำงานใน process เป้าหมาย

แล้วก็โช๊ะตอน event attach dll
เราก็ไปเขียนทับ function ที่เราต้องการ
ให้มาเป็น address ของ dll เราแทน

เช่นปกติโปรแกรมจะ connect ไปที่ server
มันก็ต้องเรียก function connect ของ dll ของ ws32 ด้วย win32api
เราก็ไปเขียน address ใหม่ให้มันมาที่ function connect ของ dll ที่เรา inject(ฉีด) เข้าไป
พอโปรแกรมเรียกใช้ connect จริงๆมันมาเข้าของเราแทน
เราก็อาจจะเขียน log หรือเปลี่ยน address ให้มาที่ server เราแทนก็ได้
แล้วค่อยไปเรียก function connect ของจริงที่เราเตรียมไว้

ซึ่งถ้าจะ crack software มันต้องใช้ความรู้พวกนี้ (จริงๆยังมีอีกเยอะ T_T)

ทุกอย่างมีใน google (/me โดนตบอีกรอบ) ต้องอ่านเรียงลำดับรึเปล่าก็อาจจะไม่
เพราะความรู้มันเชื่อมโยงกันหมด บอกลำดับไม่ถูกเหมือนกัน