- 博客(5)
- 资源 (7)
- 收藏
- 关注
RSS订阅原创 MOV EDI,EDI指令的解释(整理)
XP系统程序中开头的MOV EDI,EDI指令的解释: 在VS .NET 2003的VC7\INCLUDE目录中的listing.inc文件中定义了1到7个字节的无破坏性NOP操作的宏 MOV EDI,EDI 就是两个字节的NOP 在程序中与NOP指令的意义相同。 为什么要用MOV EDI,EDI 而不用两个NOP? 我的理解是: 用两个NOP指令耗费的CPU时钟周期
2011-11-24 11:39:53
7785
转载 MigBot代码补丁技术的源代码过程讲解
MigBot是一款内核级代码补丁技术的演示代码,它向我们展示了修改运行时代码的强大技术,本文将带领读者一道,通过其源代码来领略MigBot所使用的代码补丁技术。 一、代码补丁技术 Rootkit为了达到隐形的目的,经常需要对现有的代码执行流程进行修改,其中最常见的手法是通过修改函数的调用表来拦截函数调用。但是,对于这种司空见惯的手法,反Rootkit软件早有防备,于是Rootkit的开
2011-11-16 16:29:21
1053
原创 对二取模的优化代码~
mov edx,[] and edx,80000001h jns short xx dec edx or edx,0FFFFFFFEh inc edx xx: ... 先送数到某个寄存器中,位运算保存寄存器的首位和末位(此时可能的值为-1,0,1),若为负数,jns不跳转。正数或者0跳转。 dec edx 这里对edx减1操作,结果必然为0x80000000(或者0x
2011-11-15 09:39:20
1237
原创 PE区段添加编写中的一点心得~
为PE区段的加区段,修改PE头的映像大小= = 代码如下: BOOL LPESection::AddSection(char *pSectionName, DWORD &dwSectionSize,DWORD dwSectionStact) { LPVOID lPointer=NULL; PBYTE pData=NULL; DWORD newSectionAddr
2011-11-10 14:24:14
2032
转载 Linux的分段和分页机制
1.分段机制 80386的两种工作模式 80386的工作模式包括实地址模式和虚地址模式(保护模式)。Linux主要工作在保护模式下。 分段机制 在保护模式下,80386虚地址空间可达16K个段,每段大小可变,最大达4GB。 从逻辑地址到线性地址的转换由80386分段机制管理。段寄存器CS、DS、ES、SS、FS或GS标识一个段。这些段寄存器作为段选择器,用来选择
2011-11-05 16:06:03
667
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人