自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

kisbuddy

信息安全&学习&分享&笔记&转载

  • 博客(25)
  • 资源 (3)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 Win32汇编——过程控制(进程调试和进程隐藏)

进程调试(有权限的前提下,没有权限请自觉提权)1.获取运行中的进程句柄1.1 从窗口句柄获得进程句柄FindWindowGetWindowThreadProcessIdOpenProcess.if eax mov hProcess,eax.endif1.

2011-08-21 20:19:03 1932

原创 Win32汇编——过程控制(环境变量、命令行参数、可执行文件执行)

1.环境变量按用途可分为:与系统运行相关、反应系统状态以及应用程序自定义三种环境变量操作函数:获取一个环境变量的值:GetEnvironmentVariable设置新变量或删除已有变量 :SetEnvironmentVariable (仅改变本进程的环境变量)

2011-08-21 15:45:12 1965

原创 Gedit汇编语法高亮设置

这两天一不小心玩上了ubuntu,查看汇编文件的时候才发现gedit没有汇编语法高亮,于是就有了本文。原理:将配置好的汇编高亮xml文件(见附件)命名为asm.lang,然后移动该配置文件至gedit 环境中。gedit 环境目录:/usr/share/gtkso

2011-08-20 10:26:18 8403 5

原创 Win32汇编——多线程

1.线程间通信方法:(3种)       使用全局变量        通过发送消息        通过事件对象2.有关函数:创建线程:CreateThread线程函数:_ProcThread procuses ebx esi edi,lPa

2011-08-18 19:36:39 2016

原创 Win32汇编——钩子

1.概念:钩子是Windows消息处理机制中的一个监视点,应用程序可以在这里安装一个监视子程序,在消息流到达目的窗口前监控它们。监视函数是一个处理消息的回调函数,也称为“钩子函数”2.类型:      局部钩子:仅挂钩自身进程的事件      远程钩子:可分为基于线程

2011-08-18 12:59:11 1493

原创 Win32汇编——动态链接库

1.系统中大部分包含公用代码的模块,都有可能是动态链接库2.库的入口函数对应用程序是不可见的,它仅供操作系统使用。Windows在库加载、卸载、进程中线程的创建和结束等时候调用入口函数,以便动态链接库采取相应的工作。入口函数的结构一般为:DllEntry proc

2011-08-17 20:36:10 1165

原创 Win32汇编——内存映射文件

1.概念、好处及原理:书P3742.内存映射文件是多个进程进行通信的最有效的方法3.使用函数:  创建内存映射文件对象:CreateFileMapping ,决定是在磁盘文件上建立内存映射文件还是在页文件中建立进程间共享的映射  打开已创建好的对象:OpenFil

2011-08-16 20:20:46 1181

原创 注册表添加 右键功能

好久以前就保存下来的东西,今天突然又用到了,也就写成文章,以示记录!目标:增加右键菜单项 如“用EditPlus打开”步骤:1、在 注册表 "HKEY_CLASSES_ROOT\*"  下新建项 shell ,已存在则跳过

2011-08-15 15:07:38 660

原创 Win32汇编——文件操作

一、创建和读写文件打开、创建文件:CreateFile  (文件名需全路径)关闭: CloseHandle调整文件指针: SetFilePointer        无GetFilePointer函数,可通过invoke SetFilePoint

2011-08-14 20:31:56 5252

原创 PE编程汇总

判断是否为有效PE文件:(c 版读写文件)//通过判断DOS头标志和PE头标志以及PE头属性值来确定文件是否可执行文件BOOL IsExeFile(HANDLE hFile){ DWORD nCount; BOOL bResult = FALSE; IMAG

2011-08-14 15:02:17 2451

原创 Win32汇编——内存管理

一、内存管理基础1.Windows的内存分层管理图:2.不同内存管理函数的操作对象图:3.GlobalMemoryStatus函数通过MEMORYSTATUS结构获取系统内存信息,示例代码如下:.constszInfo db '物理内存总数

2011-08-14 11:35:20 3449

原创 Windows核心编程笔记

1.在内部,当Windows函数检测到错误时,它会使用一种名为“线程本地存储区”(thread-local storage)的机制将相应的错误代码与“主调线程”关联到一起。这种机制使不同的线程能独立运行,不会出现相互干扰对方的错误代码的情况。2.GetLastError ——

2011-08-13 16:28:09 607

原创 Win32汇编——第一个窗口程序

1.窗口程序的运行模式:消息驱动2.窗口程序实现大部分功能的代码应该呆在同一个模块中——“消息处理”模块,这个模块可以随时应付所有类型的消息,只有这样才能随时响应用户的各种操作。3.窗口程序的运行过程:4.窗口的回调函数,也叫窗口过程(由Windows自身

2011-08-09 14:11:09 2058

原创 Win32汇编学习笔记(罗云彬)(二)

1.代码段的属性是由PE头部中的属性位决定的,通过编辑exe文件,把代码段的属性位改为可写,程序就允许修改自己的代码段。典型的应用如:这对可执行文件的压缩软件和加壳软件。2.堆栈段的内存属性是可读可写且可执行的,靠动态修改代码的反跟踪模块可以拷贝到堆栈中边修改边执行。一些病毒

2011-08-09 14:10:33 2739

原创 Win32汇编学习笔记(罗云彬)(一)

1.80x86处理器的3种工作模式:实模式、保护模式和虚86模式;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;待整理;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

2011-08-09 14:09:21 2392

原创 PE学习.动手写PE.见缝插针

来自:http://bbs.pediy.com/showthread.php?t=138356此贴用于申请邀请码!1.PE文件基本结构图接下来,让我们动手吧!首先,让我们来明确下目的:1.构建自己的pe程序,知道了pe文件的结构后,我们就可以按照p

2011-08-09 14:08:39 1284

原创 addr 与 offset 异同

addr 与 offset相同点:均用于获取偏移地址不同点:1.offset 仅用于获取全局变量的地址;而addr既可以用于局部变量也可以用于全局变量,当用于局部变量时,addr 会转化成lea    eax,operandpush   eax

2011-08-09 14:04:41 1157

原创 寄存器与七种寻址方式

一、寄存器总共有14个16位寄存器,8个8位寄存器 通用寄存器:  数据寄存器:  AH(8位)  AL(8位)  AX(16位)   (AX和AL又称累加器)  BH(8位)  BL(8位)  BX(16位)   (BX又称基址寄存器,唯一作为存储器指针

2011-08-09 14:04:02 20590 4

转载 一种保护应用程序的方法 模拟Windows PE加载器,从内存资源中加载DLL

暂未整理,成文见:http://hi.baidu.com/kisbuddy/blog/item/f5da581035197e4bf2de32a2.html

2011-08-09 14:02:35 843

转载 如何从一台被铅封的机器上取走数据

转至:xfocus  tombkeeper的一篇文章,感谢作者!不少朋友都在Q公司干过,所以我对Q公司防员工如防贼的政策早有耳闻。后来有幸参观了一次,果然是名不虚传。我在Q公司看到的计算机基本都是Dell,不同之处就是机箱被铅封,软驱被拆了。机箱后面有一个钢制的挡板,所有

2011-08-09 13:58:56 621

转载 告诉刚入行的兄弟们,钱是这么赚的!

转至:http://bbs.pediy.com/showthread.php?p=987431&posted=1#post987431感谢acrocan大大!兄弟,我们面对的是一个复杂的世界,你知道c和c++最大的不同么?面向对象而已.为什么说你的思路是错的呢

2011-08-09 13:56:53 2068

原创 代码注入的三种方法

来自VC知识库:http://www.vckbase.com/document/viewdoc/?id=1886#Windows_钩子

2011-08-09 13:55:55 442

原创 看雪 好文 汇集贴(持续更新)

1.C++逆向学习三步走:http://bbs.pediy.com/showthread.php?t=113689      摘要:(链接)             1.1、寻找main函数入口                              1.2、一个简

2011-08-09 13:54:59 472

原创 OD常用快捷键(对比SoftICE)

F2:设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。(相当于 SoftICE 中的 F9)F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。(相当于 SoftICE 中的 F1

2011-08-09 13:53:20 1019

转载 各类源码网站

精选最新优秀源码下载网站排行: 1.站长下载:http://down.chinaz.com/2.CSDN下载:http://download.csdn.net3.站长源码:http://down.cnzz.cn/4.51源码:http://www.51aspx.com/  5.源码之家:http://www.mycodes.com/  6.源码网:http://www.codepub.com/ 

2010-04-10 18:39:00 856

一款汇编语言的编辑器
一款简单的汇编语言的编辑器,能实现自动大小写等功能。

2009-12-15

EditPlus对汇编语法高亮的支持文件
编辑汇编语言程序其实对编辑器的要求并不是很高,你甚至可以使用DOS(VM)下的EIDT来进行。但是使用起来,要在窗口间切换,在使用了WINDOWS的图形界面后,感觉很是不方便。 当然,也可以使用NOTEPAD等简单工具,但是,过于简陋,比如保存的时候不能在默认路径下进行,不支持语法高亮等等。即使使用VC的编程环境,对编辑的支持虽然强大,但对语法高亮也仅仅限制于C/C++。 使用EditPlus可以解决这全部问题,只要做简单的修改就可以了。

2009-07-17

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除