LLC

TITLE D:/vc6.0 project/WIN32MESSAGE/WIN32MESSAGE.cpp .386Pinclude listing.incif @Version gt 510.model FLATelse_TEXT SEGMENT PARA

这边文章是根据自己的学习经验来说的，如有雷同，纯属侃B话，请不要太当真！ 逆的基础是正  这是真理，它要表达的意识是，如果要学习逆向或者从事逆向方面的工作，你必须掌握正向开发技术。开发即是正向工程，这是艺术，伟大的人创造了伟大的程序，向他们致敬！逆向所做的事是将获取到的程序进行逆向分析，获取自己想要的。在进行逆向的时候，如果对目标一无所知，那我们将处于被动，不知道自己该怎么

多么好的书，可是我没有时间，，，，http://securityxploded.com/bookofthemonthlist.php

可以匹配多个特征码的PE检测工具，返回多个检测结果http://ntcore.com/pedetective.php

http://www.livehacking.com/tag/crowdre/

Zudy : a game robot programAudy : a Anti Anti-Virus programXudy : a game robot programFudy : a firewall program

https://code.google.com/p/distorm/

在国外的那些病毒高手已经开始抛弃polymorphism而转向metamorphism的时候，中国有几个人知道Funlove这种很简单的病毒（没有加密，更没有变形，唯一的技巧就是对NT进行了Patch）的原理呢？我曾经思考过一个实现metamorphism（严格说是semi-metamorphism，但足以使AVer的虚拟机无效）的方法，但这个想法出来的时候，29A发布了ezine #6，里面一个

http://hi.baidu.com/fenjianren/item/62d5a0ab23225415a8cfb77c

INT3断点无效，都是ThreadHideFromDebugger惹的祸http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebuggerhttp://bbs.pediy.com/showthread.

啊哈，，好东西应该跟大家分享属于你的我的安全

//DN77免费使用1小时00443F50 55 push ebp00443F51 8BEC mov ebp,esp00443F53 83EC 0C sub esp,0xC00443F56 68 462C4000

逆向仙剑5，准备直接脱壳，有很多反调试，自己手动弄一遍估计要累死，总是一不留神就让程序跑起来了。后来直接附加调试，把激活页面跳过了，但是点游戏的时候，却退出了，程序跟壳之间有交互，在跳过激活的最后一处有一次验证，这个验证CALL进入到壳的代码，是壳把验证的结果之前就保存好了，然后通过壳的的代码得出验证结果，查看结果，显示该显示的内容。 壳的CALL03C43F4C 026

void GetMemberFuncAddr_VC6(DWORD& addr,Fun f){ union { Fun _f; DWORD _t; }ut; ut._f = f; addr = ut._t;}//调用DWORD dwAddrPtr;GetMemberFuncAddr_VC6(dwAddrPtr, &CInstall_mfcDlg::Contin

http://bbs.pediy.com/showthread.php?p=1014820

.text:00401400.text:00401400 ; =============== S U B R O U T I N E =======================================.text:00401400.text:00401400 ; Attributes: bp-based frame.text:00401400.text:00401400 sub

房友中介系统fySystem.dll01E19926 /0F85 EF000000 jnz fySystem.01E19A1B ; no jump01E19926 90 nop ; no jump01E1

点击打开链接

点击打开链接

stosb, stosw, stosd 汇编基础我们来学习下另一组与字符串处理的指令。这组指令需要以指定的字符填充整个字符串或数组时比较有用。那么我们今天学习的这组指令就是stosb, stosw, stosd。这三个指令把al/ ax/ eax的内容存储到edi指向的内存单元中，同时edi的值根据方向标志的值增加或者减少。 同REP前缀联合使用的时候，这组指令需要填充整个字符串或数组时候

dumbug使用命令如下：C:\>dumbugUsage: dumbug [] []注：1.PID ,filename.exe ，任意一个，进程ID号或者文件完整路径2.trace.def ，追踪定义文件 ，里面包含要追踪API的原型3.traceout.txt ，追踪输出文件，里面包含追踪到的API，以及访问到该API的地址下面我举个示例给大家看看：

(dum(b)ug)Debugger source & ltrace for Windowshttp://www.phenoelit.org/fr/tools.html

http://bbs.pediy.com/showthread.php?t=99396

在逆一个crackme，vb写的，注册成功，标签上有提示，注册失败，标签上无提示，对于VB程序的套路，我还是不太熟悉， 贴上一些VB函数 00401000 >72A49841 msvbvm60.__vbaVarTstGt00401004 >72A477EA msvbvm60.__vbaVarSub00401008 >72A20507 msvbvm60.__vbaStrI2

使用vmp 1.0.9 最小保护处理了两条指令，如下所示： 0045E3A0 | 837D F4 7B                      | cmp dword ptr ss:[ebp-C],7B                            | vmp_1.0.9_test.cpp:12, 7B:'{'0045E3A4 | 75 16                   ...