反汇编与逆向分析
文章平均质量分 85
cosmoslife
多媒体编程、网络编程、系统编程、网络安全编程
展开
-
7种脱壳方法
OD手动脱壳的7种法则方法一:单步跟踪法 1.用OD载入,点“不分析代码!” 2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4) 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选) 4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现! 5.如果刚载入程序,在附近就有一个CA转载 2013-08-31 09:01:05 · 1170 阅读 · 0 评论 -
FS寄存器指向当前活动线程的TEB结构(线程结构)
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB转载 2013-09-04 19:24:33 · 3478 阅读 · 0 评论 -
QQ密码框的那点破事
前阵子把QQ密码搞出来了,现在想复习下发现又生疏了,看来要写个文章利用看雪论坛帮自己保存下,特别是WinDbg的命令忘的太快了,恩要记下来了。注:本文没有用到驱动来实现,也没有用到假界面这个方法,只是借助于WinDbg分析,代码是Ring3的,QQ版本是2011,版本号是1.65.2221.488即最新的版本beta 3.3QQ密码框是靠不停的安装卸载钩子来实现密码保护的,这地球人都知道,转载 2013-10-22 21:14:14 · 1287 阅读 · 0 评论 -
CreateProcess分析之NtCreateProcessEx() 的分析
链 接: http://bbs.pediy.com/showthread.php?t=114958函数原型:NTSTATUSNtCreateProcessEx( __out PHANDLE ProcessHandle, __in ACCESS_MASK DesiredAccess, __in_opt POBJECT_ATTRIBUTES ObjectA转载 2014-03-21 17:00:05 · 3947 阅读 · 0 评论