自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(10)
  • 收藏
  • 关注

原创 撰写winHex的使用指南

WinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。这里我们要对磁盘进行操作,就选择“打开磁盘”

2022-11-17 21:55:20 2832 1

原创 结合具体案例说明PEid工具的具体使用方法、用途和含义。

1、把需要进行脱壳的exe文件拖到里面即可,这个是暗组2008 vstart软件的信息。2、也可以直接把需要查壳的软件拖到PEiD的界面里,同样能载入到PEiD里(在需要查壳的软件上面按住鼠标左键,再拖动你的鼠标的PEiD的窗口里,最后松开你的鼠标左键)默认的脱壳后的文件放置位置在peid的根目录下。1、打开软件后我们可以单击右上角的三个点的按钮,会弹出一个选择文件的窗口,我们单击我们需要查壳的文件,再点击右下角的 打开 按钮。3、然后我们就可以看到十分详细的信息,比如壳的信息,入口点的位置,区段……

2022-11-17 21:48:29 4756

原创 按照实际案例用常用的查壳去壳和加壳工具说明使用方法

于是,加壳这个方法就成为木马免杀的主要方法之一,各种千奇百怪的壳应运而生(在百度以关键词“加壳软件”进行搜索,可以看到197万条搜索结果),加不同的壳就可以延伸不同的变种,有一种撒豆成兵的效果,所以加壳成为木马免杀的两种较常用的方法之一。这么做的好处是,可以提高壳的保护能力和伪装能力,抵抗杀毒软件的查杀,效果非常明显。盔甲是人类在战争中发现的一种保护全身的防御武器(盔保护的是头部,甲保护的是身体),穿上盔甲后的防护力大大增强,提高了战场上存活的几率,而同样有提高生存能力需求的木马,也打起了盔甲的主意。

2022-11-17 21:44:17 1003

原创 加壳去壳基本原理

加壳一般是指保护程序资源的方法.脱壳一般是指除掉程序的保护,用来修改程序资源.病毒加壳技术与脱壳杀毒方法 :壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱壳这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“壳”的世界吧。一、金蝉脱壳的故事我先想讲个故事吧。那就是金蝉脱壳。金蝉脱壳属于三十六计中的混战计。金蝉脱壳的本意是:寒蝉在蜕变时,本体脱离皮壳而走,只留下蝉蜕还挂在枝头。此计用于军事,是指通过伪装摆脱敌人

2022-11-17 21:37:24 265

原创 8086CPU

位的地址总线传送到存储器,在对应的物理地址中寻到相关的指令后,将指令送到指令缓冲器,再通过指令执行器去执行相关的指令。位的物理地址,来提高寻址能力。在内部用地址加法器将两个。

2022-11-08 11:24:16 133 2

原创 80386为32位机

在虚拟方式下,运行8086程序可以尽量利用32位微处理器的保护机构。尤其是32位微处理器允许同时执行8086的操作系统及其应用程序和32位微处理器操作系统的应用程序。保护方式下,CPU可访问232字节的物理存储空间,段长为232字节,而且还可以实施保护功能。实地址方式的工作原理与8086基本相同,其主要区别是32位微处理器能处理32位数据。32位微处理器为了支持多任务操作系统,以4个特权级来隔离或保护各用户及操作系统。3、虚拟8086方式(virtual 8086 mode)

2022-11-08 11:23:26 375

原创 总结16、32和64位CPU的整数和字符串的表示方法和范围

CPU的不同位数指的是CPU的运算位数,也就是指CPU一次执行指令的数据带宽 :64位CPU一次只能处理64位,也就是8个字节的数据;32位CPU一次只能处理32位,也就是4个字节的数据;16位CPU一次只能处理16位,也就是2个字节的数据。整数和字符串在CPU内都是以二进制数存在的,数据在计算机中的二进制表示形式被称为机器数,且机器数的大小受机器字长的限制。所以,在工作频率相同的情况下64位CPU处理速度会比16位和32位的CPU更快。表1.1 整数和字符串的取值范围。16位CPU(byte)

2022-11-08 11:22:30 767

原创 传输类汇编指令的使用

功能:让数据出栈,并用一个寄存器/段寄存器/内存字单元接收出栈的数据(POP 指令首先把 ESP 指向的堆栈元素内容复制到一个 16 位或 32 位目的操作数中,再增加 ESP 的值)功能:将一个寄存器/段寄存器/内存字单元中的数据入栈(PUSH 指令首先减少 ESP 的值,再将源操作数复制到堆栈)AX=5678H,BX=1234H,AX和BX寄存器内的值发生了交换。将AL与BX寄存器内容之和作为偏移地址,将其所对应的存储单元的内容送入AL寄存器。将BX寄存器的16位数据传送到AX寄存器。

2022-11-08 11:21:40 546

原创 七种数据寻址方式

立即寻址方式的目的就是将操作数紧跟在操作码后面,与操作码一起放在指令代码段中,在程序运行时,程序直接调用该操作数,而不需要到其他地址单元中去取相应的操作数,上述的写在指令中的操作数也称作立即数。所以,在执行该指令后,BX的值就为5213H。操作数在存储器中,操作数的有效地址是一个基址寄存器(BX、BP)或变址寄存器(SI、DI)的内容加上指令中给定的8位或16位位移量之和。操作数在存储器中,其有效地址是一个基址寄存器(BX、BP)的值、一个变址寄存器(SI、DI)的值和指令中的8位或16位的偏移量之和。

2022-11-08 11:20:24 9982 2

原创 常用运算类汇编指令

将指定的操作数的内容加1,对于内存单元,需要用BYTE PTR或者WORD PTR说明是字节还是字操作。ADD 寄存器/内存单元/立即数, 寄存器/内存单元/立即数。操作数1减去操作数2再减去借位CF,结果送入目的的地址。ADC 寄存器/内存单元,寄存器/内存单元/立即数。SUB 寄存器/内存单元,立即数/寄存器/内存单元。SBB 寄存器/内存单元,立即数/寄存器/内存单元。(两操作数不能都是内存单元)两数相加再加低位进位,结果送入目的的地址。INC 寄存器/内存单元。DEC 寄存器/内存单元。

2022-11-08 11:18:51 210

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除