TRock's Space Network

      PEB.NtGlobalFlag  PEB另一个成员被称作NtGlobalFlag（偏移0x68），壳也通过它来检测程序是否用调试器加载。通常程序没有被调试时，NtGlobalFlag成员值为0，如果进程被调试这个成员通常值为0x70（代表下述标志被设置）：

       FLG_HEAP_ENABLE_TAIL_CHECK(0X10)
       FLG_HEAP_ENABLE_FREE_CHECK(0X20)
       FLG_HEAP_VALIDATE_PARAMETERS(0X40)

      这些标志是在ntdll!LdrpInitializeExecutionOptions()里设置的。请注意PEB.NtGlobalFlag的默认值可以通过gflags.exe工具或者在注册表以下位置创建条目来修改：

  
      先做一些基础的介绍

      1、软恢复：就是硬盘本身没有物理损伤，而是由于人为或者病毒破坏所造成的数据丢失（比如误格式化，误分区），那么这样的数据恢复就叫软恢复！

      2、数据恢复的前提：数据不能被二次破坏、覆盖！

      3、数码与码制：关于二进制、十六进制、八进制的转换，请自己GOOGLE 不重点！

      4、使用工具：WinHex（专业级） 、PS：以前我用易我做过数据恢复的教程，那个软件的足限性太大了！

      防止 e-mail 注入的最好方法是对输入进行验证

    
       通过 PHP 发送电子邮件的最简单的方式是发送一封文本 email！
1、 语法



参数                                  描述
to                      必需。规定 email 接收者。
subject               必需。规定 email 的主题。注释：该参数不能包含任何新行字符。
message             必需。定义要发送的消息。应使用 LF (\n) 来分隔各行。
headers              可选。规定附加的标题，比如 From、Cc 以及 Bcc。应当使用 CRLF (\r\n) 分隔附加的标题。
parameters          可选。对邮件发送程序规定额外的参数。


注：PHP 需要一个已安装且正在运行的邮件系统，以便使邮件函数可用。所用的程序通过在 php.ini 文件中的配置设置进行定义。

                                            2.1 PEB.BeingDebugged Flag : IsDebuggerPresent()

      最基本的调试器检测技术就是检测进程环境块(PEB)1中的BeingDebugged标志。kernel32!IsDebuggerPresent() API检查这个标志以确定进程是否正在被用户模式的调试器调试。

      下面显示了IsDebuggerPresent() API的实现代码。首先访问线程环境块(TEB)2得到PEB的地址，然后检查PEB偏移0x02位置的BeingDebugged标志。

mov      eax, large fs: 18h
mov       eax, [eax+30h]
movzx      eax, byte ptr [eax+2]
retn

      除了直接调用IsDebuggerPresent()，有些壳会手工检查PEB中的BeingDebugged标志以防逆向分析人员在这个API上设置断点或打补丁。