- 博客(6)
- 收藏
- 关注
原创 关于Undname
Undname 功能undname 可以查看名称粉碎前的函数信息实现使用 OD 调试,发现实际上该程序调用了 API UnDecorateSymbolName,将输入的参数,解析字符串,再转换为 API 的参数。
2017-11-12 14:27:31
634
原创 NtGlobalFlag
简单的 NtGlobalFlag 反调试程序:#include "stdafx.h"#include <windows.h>#define NAKED __declspec(naked)NAKED BOOL Detect32(){ __asm { push ebp; mov ebp, esp; pushad; mov
2017-11-06 01:51:08
1229
原创 RSA 算法笔记
数学概念同余定理 如果两个数 a、b,模上某个数 p,得到的余数相同,则 a 和 b 同余,记作: a≡b(modp)a \equiv b \pmod{p}例如:37≡3(mod17)37 \equiv 3 \pmod{17} 5≡22(mod17)5 \equiv 22\pmod{17}≡ \equiv 和 == 非常相近,左右相等的式子可以变换相加、相减、相乘、相除,如下例子
2017-10-30 21:03:12
318
原创 关于 inc2l
inc2l 可以帮助我们将 .inc 文件转换为 .lib 文件。关于 bug如果转换成功,会在当前目录下产生一个 kernel32.lib但是,如果该文件不在其原来的安装目录下,那么转换时将会失败,什么提示也没有。分析#1因为 inc2l 是加壳文件,用 esp定理 将壳脱去。使用 OD dump 出来后,可以再使用导入表恢复工具将导入表修复完整,程序就可以正常运行了。#2用 OD 将程序以输入
2017-10-26 10:01:56
624
原创 关于 ESP 定理
许多壳在执行加壳代码的开始和结束位置,分别会有 pushad 和 popad 来保存所有的寄存器环境。或者有些程序利用这一点,可以定位到程序真正代码的位置。–>练习程序下载打开程序后,程序的入口点就是汇编指令 pushad,下面的都是加壳代码。由于寄存器都入栈,此时栈顶以下的位置都存储了寄存器的环境。当加壳结束时,一定将寄存器的值出栈,所以,在寄存器全部入栈后,在右侧寄存器位置点击数据窗口跟随,然
2017-10-24 13:55:15
543
转载 MarkDown: 为字体添加颜色
转自 testcs_dn(微wx笑) 博文 –>传送门初学MarkDown,发现字体颜色经常用到,备份一份给自己看。<font face="黑体">我是黑体字</font><font face="微软雅黑">我是微软雅黑</font><font face="STCAIYUN">我是华文彩云</font><font color=#0099ff size=7 face="黑体">color=#
2017-10-19 03:32:54
55572
7
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人