1.烫烫烫烫出现的原因:
调试模式下VS会给栈内存加上额外的保护段并且用0xCC填充,0xCC在x86下是INT 3指令,这个指令会触发断点,这样调试器就可以发现程序因为越界覆盖了返回地址之类的各种各样的原因执行到了堆栈数据里面……
堆当中则会用0xCD来填充,也就是“屯屯屯屯屯”
屯和烫都是GBK编码的结果,所以只有简体中文Windows,而且程序链接了ANSI版本的API才会显示这个。现代的程序可以选择使用UTF-16的Unicode版本的库,这种情况下会变成韩文쳌쳌쳌쳌。
如果是台湾(BIG-5)则会显示“昍昍昍”,日本(Shift-JIS)应该会显示“フフフフフフ”
作者:灵剑
链接:https://www.zhihu.com/question/23600507/answer/140640887
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
2.四段命名法(只有内幕人士才知道,,,我也是听老师说的,网上搜不到)
Trajan.Win32.Agent.a
类型.运行环境.家族.标识号
Trajan-download:下载者木马 ,Trajan-extortioner:勒索者木马
标识号是:a-z(1-26),然后aa - az(26-52),ba-bz(53-78)
注意:not-a-virus - 这个不是病毒,是广告
ida打开里面地址会在不同区
.text - 防置代码
.rsrc(resource) - 放置资源文件
这两个是必须要记住的
-未完待续