asm
farcall
这个作者很懒,什么都没留下…
展开
-
通过call指令看静态IAT HOOK 实践EPO
Call的几种不同形式序号指令反汇编含义1FF D7Call ediCall reg/call [reg+xx]2E8 68F9FEFFcall 01001F51Call 立即数3FF15 EC110001call dword ptr [10011EC]Call dowrd ptr[立即数]FF指令01013FE6 FFD0 call eax 01013FE8 FFD3 call ebx 01原创 2011-02-11 19:29:00 · 1165 阅读 · 0 评论 -
loadexe思路只nop占用0x00401000
#include "stdafx.h" #pragma comment(lib, "libc.lib") extern "C" void mainCRTStartup(); int ttt() { __asm { // 按节区体积安排nop nop nop nop nop nop nop nop nop n原创 2011-02-14 22:40:00 · 738 阅读 · 0 评论 -
360黑盒研究感染
<br />测试环境<br /><br />A程序 合法 无源码<br />B程序 合法 有源码<br /> <br />C程序 B寄生在A上 <br />360扫描非法 为了达到扫描合法我采用如下方案(经过了不断的修改测试)A:OEPB:Shellcode代理C:虽然B程序是合法的,但这里才是重点 这个地方我很是不解 有的时候程序完全加密依然被杀 有的时候换个变异选项竟然就过了 又有的去了DOS头 就过了 具体算法在随后一些日子 要逆向弊病:A:360并没有对跨段执行非常严格B:对一原创 2011-02-15 03:07:00 · 565 阅读 · 0 评论 -
memcpy 内联汇编简写版
__asm { lea esi, szSrc lea edi, szDes mov ecx, nLen mov ebx, ecx and ecx, 3 rep movsb mov ecx, ebx shr ecx, 2 rep movsd }原创 2011-02-16 00:57:00 · 866 阅读 · 0 评论 -
躲bpx检测方法总结
<br />1:<br /> detect_bpx: 00401762 56 push esi 00401763 51 push ecx 00401764 8BF0 mov esi,eax 00401766 B9 05000000 mov ecx,5 0040176B 33C0原创 2011-02-13 05:49:00 · 612 阅读 · 0 评论