汇编
文章平均质量分 67
duhaomin
开朗,爱运动
展开
-
ESP 寄存器
ESP 寄存器 http://hi.baidu.com/retrying/item/ac63fa10ff406501b88a1a7dEBP寄存器 在长期的编程和使用中,在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义,比如:EAX一般用来做返回值,ECX用于记数等等。在win32的环境下EBP寄存器用与存放在进入call以后的ESP的值,便于退出的时候回复ESP的值,转载 2013-10-25 19:41:17 · 3466 阅读 · 0 评论 -
inline hook【001】
什么是inline hook呢?没纠结pushadpopad能用于386及其继机型执行pushad依EAX、ECX、EDX、EBX、ESI、EDI执行ESP- 32用于保护断现场;popad执行结相反用于恢复断现场 程序要用某些寄存器内容用使用组入栈栈指令比程序调用断处理程序调用经用形式与pushpop类似pushadpopad由于能性完寄存器入栈栈故比单纯pushpop更便且原创 2014-10-11 15:11:36 · 1078 阅读 · 0 评论 -
使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数
首先是IDA的使用,打开VMware虚拟机,找到C:\Windows\system32\ntkrnlpa.exe,考到本地电脑,用IDA打开。配置symbol标志文件:找到IDA文件下边的cfg\pdb.cfg,使用UltraEdit打开,第8行有个_NT_SYMBOL_PATH字符串,记住之后配置系统环境变量,计算机---属性---高级系统设置---高级---环境变量---系统变量---新建原创 2013-10-25 10:56:36 · 3609 阅读 · 0 评论 -
汇编指令对应的十六进制表示
空 nopjmp + 32位立即数 jmp a = E9 ajmp+[内存地址] jmp [0x8d8d3a] = FF25 [0x8d8d3a] jmp+far+[内存地址] jmp far [0x8d8d3a] = FF2D [0x8d8d3a] 直接远跳 jmp 0x8:0x7c00 = EA原创 2014-02-14 10:42:27 · 17836 阅读 · 0 评论 -
琐碎的发现,ImageRvaToVa函数分析!
琐碎的发现,ImageRvaToVa函数分析!最近,写了东西的时候用到了一个函数感觉很不错!MS就是好嘛!ImageRvaToVa就是把物理地址转换为虚拟地址的函数!可是最近到网络上找了好长时间也没发现有多少人用它!也许是我RP问题,我想不会吧! 写代码的时候,忽然要用到虚拟地址转换物理地址的函数,我顺手在VC里输入了ImageVaToRva,惯例嘛!怎么来的怎么回去!编译了好转载 2014-02-26 18:23:14 · 1902 阅读 · 0 评论 -
VC++环境下的调用约定:_cdecl _stdcall _fastcall thiscall
VC++环境下的调用约定:_cdecl _stdcall _fastcall thiscall_cdecl :属于VC++环境下的关键字,函数可以显示的声明为该调用方式,调用方负责平衡栈,不定参数的函数可以使用,C/C++默认的调用方式_stdcall :属于VC++环境下的关键字,函数可以显示的声明为该调用方式被调用方负责平衡栈,不定参数函数无法使用_fas原创 2014-02-21 13:47:06 · 2079 阅读 · 0 评论 -
汇编指令总结
001 :esp始终指向栈顶002:ebp对于栈的操作主要靠它来实现,当操作栈里边的元素的时候,将esp的值赋给ebp,这样ebp+i或者-i来找到对应的数据003:一般函数进去的时候是这样的:004012F0 push ebp 004012F1 mov ebp,esp 004012F3 and esp,0FFF原创 2013-12-13 16:11:51 · 1237 阅读 · 0 评论 -
Windows游戏加速外挂-变速齿轮 学习笔记-【第一篇】
找到两篇文章,是比较流行的方法,接下来记录一下收获:第一篇文章:“变速齿轮”研究手记转自:http://www.newasp.net/tech/58262.html注意:如果你看了本文,对我们这个软件有兴趣,请到我们的主页www.vrbrothers.com下载。注:为节省篇幅,本文对一些计算机术语直接使用而没有作详细的解释,读者若有不熟悉之处,建议参考清华大学翻译 2013-12-03 20:07:05 · 13871 阅读 · 2 评论 -
外挂、反外挂很好用的工具---olldbg
该软件是动态调试,也就是在你的EXE运行的时候调试,相当于使用IDE或者VIM调试自己开发的软件一样,唯一不同的是该调试是汇编调试,需要看懂汇编才行。在此记录一下,接下来再把收获一点点的总结出来。原创 2013-12-06 17:51:26 · 2468 阅读 · 0 评论 -
反汇编编程遇到的问题总结
反汇编编程遇到的问题总结编写NtReadVirtualProcess反汇编代码的时候,遇到了一系列问题,记录一下,希望能给一些也是初入该领域的朋友带去帮助:在此之前写过的几篇文章:第五天 使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数驱动与应用层简单消息通信总结windows 编程ReadProcessMemory 使用中遇到原创 2013-10-31 18:52:17 · 2214 阅读 · 0 评论 -
inline hook【002】
用inline hook 去hook dll中的某个函数的小例子:原创 2014-10-14 10:05:36 · 1004 阅读 · 0 评论