Ring3
farcall
这个作者很懒,什么都没留下…
展开
-
通过call指令看静态IAT HOOK 实践EPO
Call的几种不同形式序号指令反汇编含义1FF D7Call ediCall reg/call [reg+xx]2E8 68F9FEFFcall 01001F51Call 立即数3FF15 EC110001call dword ptr [10011EC]Call dowrd ptr[立即数]FF指令01013FE6 FFD0 call eax 01013FE8 FFD3 call ebx 01原创 2011-02-11 19:29:00 · 1168 阅读 · 0 评论 -
loadexe思路只nop占用0x00401000
#include "stdafx.h" #pragma comment(lib, "libc.lib") extern "C" void mainCRTStartup(); int ttt() { __asm { // 按节区体积安排nop nop nop nop nop nop nop nop nop n原创 2011-02-14 22:40:00 · 739 阅读 · 0 评论 -
躲bpx检测方法总结
<br />1:<br /> detect_bpx: 00401762 56 push esi 00401763 51 push ecx 00401764 8BF0 mov esi,eax 00401766 B9 05000000 mov ecx,5 0040176B 33C0原创 2011-02-13 05:49:00 · 613 阅读 · 0 评论 -
自删除
<br />BOOL SelfDelete() { TCHAR szModule [MAX_PATH], szComspec[MAX_PATH], szParams [MAX_PATH]; // get file path names: if((GetModuleFileName(0,szModule,MAX_PATH)!=0) && (GetShortPathName(szModule,szModule,MAX_P原创 2011-02-19 19:41:00 · 410 阅读 · 0 评论 -
通过特征码找断点
<br />掌握调试技巧比知识更为重要<br />在逆向调试的时候 如果能下到正确的断点事半功倍<br />比如在处理一个按钮事件的话 如果能立刻找到该按钮的处理函数<br />那么破解或者逆向都是小问题了<br /> <br />比如要逆向MFC程序的按钮事件 可以写一个小Demo 然后下int3 或者 写个MsgBox<br />然后再用OD跟 回硕 一般来说像MFC这类的框架代码都是一样的 所以具备特征码的特点<br />由此可以找到MFC中的特征码就是<br /> <br />83E8 0A原创 2011-05-29 02:11:00 · 1025 阅读 · 0 评论