北浪45-CSDN博客

原创撰写winHex的使用指南

WinhexWinhex是使用最多的一款工具软件，是在Windows下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容（用十六进制显示）其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。首先要安装Winhex，安装完了就可以启动winhex了，启动画面如下：首先出现的是启动中心对话框。这里我们要对磁盘进行操作，就选择“打开磁盘”

2022-11-17 21:55:20 2842 1

原创结合具体案例说明PEid工具的具体使用方法、用途和含义。

1、把需要进行脱壳的exe文件拖到里面即可，这个是暗组2008 vstart软件的信息。2、也可以直接把需要查壳的软件拖到PEiD的界面里，同样能载入到PEiD里（在需要查壳的软件上面按住鼠标左键，再拖动你的鼠标的PEiD的窗口里，最后松开你的鼠标左键）默认的脱壳后的文件放置位置在peid的根目录下。1、打开软件后我们可以单击右上角的三个点的按钮，会弹出一个选择文件的窗口，我们单击我们需要查壳的文件，再点击右下角的打开按钮。3、然后我们就可以看到十分详细的信息，比如壳的信息，入口点的位置，区段……

2022-11-17 21:48:29 4800

原创按照实际案例用常用的查壳去壳和加壳工具说明使用方法

于是，加壳这个方法就成为木马免杀的主要方法之一，各种千奇百怪的壳应运而生（在百度以关键词“加壳软件”进行搜索，可以看到197万条搜索结果），加不同的壳就可以延伸不同的变种，有一种撒豆成兵的效果，所以加壳成为木马免杀的两种较常用的方法之一。这么做的好处是，可以提高壳的保护能力和伪装能力，抵抗杀毒软件的查杀，效果非常明显。盔甲是人类在战争中发现的一种保护全身的防御武器（盔保护的是头部，甲保护的是身体），穿上盔甲后的防护力大大增强，提高了战场上存活的几率，而同样有提高生存能力需求的木马，也打起了盔甲的主意。

2022-11-17 21:44:17 1006

原创加壳去壳基本原理

加壳一般是指保护程序资源的方法.脱壳一般是指除掉程序的保护,用来修改程序资源.病毒加壳技术与脱壳杀毒方法 :壳是什么？脱壳又是什么？这是很多经常感到迷惑和经常提出的问题，其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候，说明你已经在各个安全站点很有了一段日子了。下面，我们进入“壳”的世界吧。一、金蝉脱壳的故事我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是：寒蝉在蜕变时，本体脱离皮壳而走，只留下蝉蜕还挂在枝头。此计用于军事，是指通过伪装摆脱敌人

2022-11-17 21:37:24 267

原创 8086CPU

位的地址总线传送到存储器，在对应的物理地址中寻到相关的指令后，将指令送到指令缓冲器，再通过指令执行器去执行相关的指令。位的物理地址，来提高寻址能力。在内部用地址加法器将两个。

2022-11-08 11:24:16 137 2

原创 80386为32位机

在虚拟方式下，运行8086程序可以尽量利用32位微处理器的保护机构。尤其是32位微处理器允许同时执行8086的操作系统及其应用程序和32位微处理器操作系统的应用程序。保护方式下，CPU可访问232字节的物理存储空间，段长为232字节，而且还可以实施保护功能。实地址方式的工作原理与8086基本相同，其主要区别是32位微处理器能处理32位数据。32位微处理器为了支持多任务操作系统，以4个特权级来隔离或保护各用户及操作系统。3、虚拟8086方式(virtual 8086 mode)

2022-11-08 11:23:26 376

原创总结16、32和64位CPU的整数和字符串的表示方法和范围

CPU的不同位数指的是CPU的运算位数，也就是指CPU一次执行指令的数据带宽：64位CPU一次只能处理64位，也就是8个字节的数据；32位CPU一次只能处理32位，也就是4个字节的数据；16位CPU一次只能处理16位，也就是2个字节的数据。整数和字符串在CPU内都是以二进制数存在的，数据在计算机中的二进制表示形式被称为机器数，且机器数的大小受机器字长的限制。所以，在工作频率相同的情况下64位CPU处理速度会比16位和32位的CPU更快。表1.1 整数和字符串的取值范围。16位CPU（byte）

2022-11-08 11:22:30 778

原创传输类汇编指令的使用

功能：让数据出栈，并用一个寄存器/段寄存器/内存字单元接收出栈的数据（POP 指令首先把 ESP 指向的堆栈元素内容复制到一个 16 位或 32 位目的操作数中，再增加 ESP 的值）功能：将一个寄存器/段寄存器/内存字单元中的数据入栈（PUSH 指令首先减少 ESP 的值，再将源操作数复制到堆栈）AX=5678H,BX=1234H,AX和BX寄存器内的值发生了交换。将AL与BX寄存器内容之和作为偏移地址，将其所对应的存储单元的内容送入AL寄存器。将BX寄存器的16位数据传送到AX寄存器。

2022-11-08 11:21:40 548

原创七种数据寻址方式

立即寻址方式的目的就是将操作数紧跟在操作码后面，与操作码一起放在指令代码段中，在程序运行时，程序直接调用该操作数，而不需要到其他地址单元中去取相应的操作数，上述的写在指令中的操作数也称作立即数。所以，在执行该指令后，BX的值就为5213H。操作数在存储器中，操作数的有效地址是一个基址寄存器(BX、BP)或变址寄存器(SI、DI)的内容加上指令中给定的8位或16位位移量之和。操作数在存储器中，其有效地址是一个基址寄存器(BX、BP)的值、一个变址寄存器（SI、DI）的值和指令中的8位或16位的偏移量之和。

2022-11-08 11:20:24 10007 2

原创常用运算类汇编指令

将指定的操作数的内容加1，对于内存单元，需要用BYTE PTR或者WORD PTR说明是字节还是字操作。ADD 寄存器/内存单元/立即数, 寄存器/内存单元/立即数。操作数1减去操作数2再减去借位CF，结果送入目的的地址。ADC 寄存器/内存单元，寄存器/内存单元/立即数。SUB 寄存器/内存单元，立即数/寄存器/内存单元。SBB 寄存器/内存单元，立即数/寄存器/内存单元。(两操作数不能都是内存单元)两数相加再加低位进位，结果送入目的的地址。INC 寄存器/内存单元。DEC 寄存器/内存单元。

2022-11-08 11:18:51 211

m0_74208186的博客