- 博客(11)
- 资源 (7)
- 收藏
- 关注
原创 为nodejs编写c++插件
2. 安装完Node.js之后,你需要安装node-gyp。node-gyp是一个Node.js模块,用于构建Node.js插件和原生模块。6. 编译,用node-gyp编译而不是用vs编译(node-gyp内部会使用vs编译,然后再打成一个node包)5.2 通常我们的代码都比较复杂,需要修改vs工程的各种属性,可以在这一步做。4. 新建一个空的addon.cpp文件,先不用写代码,先生成vs工程。8. 写一个test.js来测试这个addon.node包。1. 首先,你需要安装Node.js。
2023-04-19 15:49:06 937
原创 使用windbg查看进程导入表
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
2023-04-13 16:27:32 310
原创 数字签名介绍
数字签名的原理在发送端为需要签名的数据计算摘要为摘要进行非对称加密在接收端使用发送端的公钥,对签名解密,得到摘要1对数据进行摘要提取,得到摘要2比较摘要1和摘要2是否相同无法伪造签名的原因数字签名流程图数字签名流程图.........
2022-05-12 17:24:16 969
原创 win10驱动开发
整体开发环境win10 开发机vmware 上的 win10 调试机开发机环境windows sdk: 版本 10.0.16299.0wdk 版本10.0.16299.15vs2017vmware 16.2测试机windows sdk: 版本 10.0.16299.0driver monitor 工具驱动签名的问题修改bootload参数,让系统进入测试模式管理员模式打开命令行,执行: bcdedit-set loadoptions DDISABLE_INTE
2022-04-13 18:25:11 2532
原创 虚拟地址空间2
虚拟地址空间的分区分区区间空指针赋值区0x00000000~0x0000FFFF用户可使用的分区0x00010000~0x7FFEFFFF64KB禁入分区0x7FFF0000~0x7FFFFFFF内核分区0x80000000~0xFFFFFFFF物理存储器和虚拟地址之间的映射方向需要先明确一点: 系统是把物理存储器 映射到 一个虚拟地址,而不是把虚拟地址映射到一个物理存储器相关名词预定: 表示用户程序将要使用某一块虚拟地址空间调拨: 将一块物
2022-04-01 18:10:33 75
原创 ida逆向分析实例1
下图列出了int Add(int,int);的逆向结果和源代码:基础知识:lea 指令将操作数的地址复制给寄存器。eax寄存器用于保存返回值。__fastcall调用约定的作用是,参数中,从左到右的前四个字节的参数会被放到寄存器中(正常的参数都是放入栈中的),来加快函数调用。rcx和rdx是64位的寄存器,对应ecx和edx。rcx和rdx和__fastcall有关系,代表第一个和第二个参数。疑问?retn 会将esp的值加4(相当于一个出栈操作),这个出栈的数据是啥?...
2022-03-27 13:16:45 887 1
原创 windbg 调试学习
符号服务器地址微软的公共符号服务器地址:Symbol information五种符号加载状态1. deferred: 延迟加载,现在还不需要使用这个模块的符号,将在后面需要的时候加载2. no symbols: 没有找到相应的符号文件3. export4. public: 一般指使用服务器上的共有符号5. private: 一般指使用本地的私有符号符号相关的命令1. 设置符号加载路径注意:访问微软的符号服务器可能需要梯子,注意用梯子的方式,要使..
2022-03-10 17:56:11 2276
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人