汇编逆向
Flasco
这个作者很懒,什么都没留下…
展开
-
动态基址的定位获取
自win7之后,基址已成动态然而当时我查找资料的时候却发觉相关资料非常的少或者说我不是很懂那些大牛的意思吧今天看了有关教程有所明悟自己大概构想出了实现获取的方案下面来讲讲方法与思路方法: 特征码锁定获取思路:程序添加初始化按钮,当目标程序载入完成之后点击按钮,读取出此次的常量动态基址。基址+偏移,就能实现以往设想的功能了。这个方原创 2016-08-30 20:23:57 · 6518 阅读 · 1 评论 -
动态基址定位的改进方法
在一段时间的学习之后,笔者对于定位基址的方法有了更近一步的了解。其实根据模块定位是可以做到的。因为程序的整体是固定的,只有模块基址每次打开都在改变,但是程序内的相对位置是不会改变的。所以获取程序的模块基址之后加上偏移就可以定位到所需要的地址了。关于获取模块基址,gethandlemoudle("目标程序")就可以获得了。点到此处为止。原创 2016-10-11 22:18:09 · 1995 阅读 · 1 评论 -
Hook_获取寄存器数值
很多分析程序的时候,我们会发现如果能读出目标程序运行到指定地址之后的寄存器数据的话,我们的工作会轻松很多。可是怎么能够读取出来呢?要知道,寄存器的值是随着程序的运行而在不断做着改变的。如果想要像使用调试工具一样读出寄存器的值的话,其实有2种方法。第一种就是做个简易的程序调试器,在指定地址上下断点,让程序获取debug异常,读取寄存器数据。第二种就是在程序运行到指定行数的时候加上我们原创 2016-10-23 11:40:06 · 5683 阅读 · 3 评论 -
Hook讲解 First
啊,现在都已经是11月了,上个月说好的下一篇要讲hook,这次我们就来讲一下吧!首先要了解一下hook的概念。Hook是啥?钩子。勾住指定行数,跳转到我们的代码执行,然后再跳回去。当然这是我的理解。Hook的第一步是什么呢?首先就是跳转。第一,你需要了解jmp的机器码是什么。E9 远程长跳,下面的机器码是想跳到的地址 - 勾住的目标地址 - 5.因为写入的是机器码,所以还要进行倒位原创 2016-11-13 14:11:29 · 848 阅读 · 0 评论 -
hook讲解【终】
注:本篇文章长达 1609字 两年前笔者先后写了2篇博文,分别是 《Hook_获取寄存器数值》 以及 《Hook讲解 First》,当时年少轻狂,知道了点东西就开始瞎装逼,现在回想起来,感觉当初的自己太傻了。hook这种东西,会者不难,只是因为国内相关的资料比较的稀少,而且百度搜索的算法有点问题,在某些方面的资料用百度那可是相当的难找。咳咳,废话不多,下面进入正题。 hook,中文...原创 2018-11-12 22:03:17 · 1691 阅读 · 0 评论