![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向工程
文章平均质量分 67
动起手来实现白日梦
有兴即有趣!
展开
-
五大语言入口点特征
===============五大语言入口点特征================== delphi: 55 PUSH EBP 8BEC MOV EBP,ESP 83C4 F0 ADD ESP,-10 B8 A86F4B00 MOV EAX,PE.004B6FA8 vc++ 55转载 2009-08-13 11:03:00 · 2058 阅读 · 0 评论 -
MmGetSystemRoutineAddress 函数源码
MmGetSystemRoutineAddress 函数源码作者:阿国哥 发布于2007-3-29 20:34(星期四)以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数函数功能:用来获取内核导出函数的地址,与用户态的GetProcessAddress函数雷同功能转载 2012-02-12 03:14:32 · 2714 阅读 · 0 评论 -
一个关于push ret HOOK的问题随记一下。
在学习内核HOOK的问题,发现自已的基础就是XX,记录一下!曾经的问题://加入pushad 及popad 这样会不会影响到JMP地址各个寄存器,//因为以上代码和JMP到的地址代码为同一个函数。会吗?//以上汇编代码处理后蓝屏,应该是堆栈不平问题。问题:如何保证破坏后堆栈平衡? //正常lkd> u ObCheckObjectAccess l10nt!ObCh原创 2012-02-11 00:24:16 · 2562 阅读 · 0 评论 -
WINDBG本地调试WIN7需要注意的一些问题!
使用WinDbg进行内核调试,做几件事情1、运行 bcdedit -debug on 开启调试,需要重启生效2、到http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx 下载符号包Wi转载 2011-05-13 00:01:00 · 8757 阅读 · 0 评论 -
转:虚拟机中调试游戏!
在虚拟机配置文件*.vmx里添加以下内容:mks.enable3d = "TRUE" svga.vramSize = "134217728" vmmouse.present = "FALSE"转载 2010-12-21 15:16:00 · 1008 阅读 · 0 评论 -
转:传说中破解基础----背的滚瓜烂熟差不多就会破解
转:传说中破解基础----背的滚瓜烂熟差不多就会破解转载 2010-12-21 15:14:00 · 1053 阅读 · 0 评论 -
转在 Visual C++ 中使用内联汇编
一、 优点使用内联汇编可以在 C/C++ 代码中嵌入汇编语言指令,而且不需要额外的汇编和连接步骤。在 Visual C++ 中,内联汇编是内置的编译器,因此不需要配置诸如 MASM 一类的独立汇编工具。这里,我们就以 Visual Studio .NET 2003 为背景,介绍在 Visual C++ 中使用内联汇的相关知识(如果是早期的版本,可能会有些许出入)。内联汇编代码可以使用 C/转载 2010-04-29 11:16:00 · 740 阅读 · 0 评论 -
转C/C++和汇编混合编程
转C和汇编混合编程.data是初始化的数据块。这些数据包括编译时被初始化的globle和static变量,也包括字符串。连接器将OBJs及LIBs文件的.data结合成一个大的.data。local变量以放在一个线性的堆栈中,不占.data和.bss的空间。和.text一样,数据块是以明文的形式存放在文件中的。无法防止对其物理的修改。.bss区是存放未初始化全局和静态变量的。 在C和汇编混转载 2010-04-29 10:36:00 · 2538 阅读 · 0 评论 -
转Linux平台可以用gdb进行反汇编和调试。
Linux平台可以用gdb进行反汇编和调试。 <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="http://purl.org/dc/elements/1.1/"xmlns:trackback="http://madskills.com/public/xml/rss/mod转载 2010-03-22 16:58:00 · 1781 阅读 · 0 评论 -
手脫 -- PECompact 2.x -> Jeremy Collake
手脫 -- PECompact 2.x -> Jeremy CollakePEID: PECompact 2.x -> Jeremy Collake脱壳工具下载有专用的脱壳工具,这里做为练手。OD载入加了壳的程序.入口点: --- 这里很怪如果你F8走, 走到00401016 就会飞1.先忽略所有异常.2. F8 行两步 , 这里可以用ESP定律00401000 > B8 DC2B4100原创 2009-08-13 11:14:00 · 3698 阅读 · 1 评论 -
常用断点(OD中)
常用断点(OD中)拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) (转载 2009-08-13 11:16:00 · 1937 阅读 · 0 评论 -
ASPack 2.12 -> Alexey Solodovnikov
目标:练手+文件名:ImportREC_fix.exe壳名:ASPack 2.12 -> Alexey SolodovnikovPEID查: 结果:ASPack 2.12 -> Alexey Solodovnikov一,od载入00481001 > 60 PUSHAD //F8单步0048100原创 2009-08-13 11:08:00 · 4313 阅读 · 0 评论 -
Windows内核调试器原理浅析
Windows内核调试器原理浅析 前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)转载 2012-03-21 12:16:36 · 1043 阅读 · 0 评论